guía openclaw self-hosting ia seguridad

Self-Hosting de OpenClaw con HomeGate: Acceso Seguro a Tu Agente de IA

Cómo exponer tu instancia de OpenClaw a internet con SSL automático, listas de IPs permitidas y sin port forwarding usando HomeGate.

HomeGate Team ·

OpenClaw se ha convertido en uno de los proyectos open source más comentados del año, superando las 250k estrellas en GitHub más rápido que cualquier otro proyecto. Si no lo conoces: es un agente de IA autoalojado que se conecta a WhatsApp, Telegram, Discord y más. Puede controlar dispositivos domóticos, gestionar tu correo electrónico, responder preguntas usando tus propios documentos, y hacer muchas de las cosas para las que normalmente necesitarías media docena de productos SaaS.

Su principal atractivo es que todo se ejecuta en tu hardware. Tus conversaciones, tus datos, tus claves API. Nada sale de tu red a menos que tú lo decidas.

Pero hay un inconveniente. Si quieres acceder a OpenClaw desde fuera de tu red doméstica (por ejemplo, desde tu móvil mientras estás fuera, o desde una integración con webhooks), necesitas exponerlo a internet. Y ahí es donde las cosas se complican.

El problema de la exposición

Ejecutar OpenClaw en casa es fácil. Docker Compose, unas pocas variables de entorno y listo. La interfaz web funciona en el puerto 3080 por defecto, y puedes acceder desde cualquier dispositivo de tu red local.

Los problemas empiezan cuando intentas que sea accesible desde fuera. El enfoque tradicional es así:

  1. Obtener una IP estática o configurar DNS dinámico
  2. Reenviar el puerto 3080 en tu router
  3. Configurar un proxy inverso (nginx, Caddy, Traefik)
  4. Obtener un certificado SSL con Let’s Encrypt
  5. Configurar un cortafuegos para protegerlo
  6. Esperar que tu ISP no use CGNAT

Ese último punto es un obstáculo para mucha gente. Si tu ISP usa CGNAT (Carrier-Grade NAT), el reenvío de puertos simplemente no funciona. Tu router no tiene una IP pública real, y ninguna configuración puede cambiar eso.

Incluso sin CGNAT, esta configuración expone tu IP doméstica a cualquiera que consulte tu dominio. Para un servicio que maneja tus conversaciones privadas y controles de domótica, eso no es lo ideal.

Cómo lo resuelve HomeGate

HomeGate se sitúa entre internet y tu servidor doméstico. El tráfico llega a través de nuestra infraestructura, se enruta por un túnel seguro de Tailscale hasta tu máquina, y tu IP doméstica nunca aparece en registros DNS ni cabeceras HTTP.

Esto es lo que obtienes:

  • HTTPS automático. Los certificados SSL se provisionan y renuevan sin configuración alguna.
  • IP oculta. Tu dirección doméstica permanece privada. Los visitantes ven la IP de HomeGate, no la tuya.
  • Funciona detrás de CGNAT. Sin reenvío de puertos, sin IP estática necesaria.
  • Lista de IPs permitidas. Restringe quién puede acceder a tu instancia de OpenClaw por dirección IP o rango CIDR.
  • Dominios personalizados. Usa openclaw.tudominio.com o un subdominio gratuito *.homegate.sh.

Paso a paso: exponer OpenClaw con HomeGate

1. Asegúrate de que OpenClaw está funcionando

Si aún no has configurado OpenClaw, la documentación oficial te guía paso a paso. La configuración con Docker Compose es la más sencilla. Una vez funcionando, comprueba que puedes acceder a la interfaz web en http://localhost:3080 desde la misma máquina.

2. Instala Tailscale

HomeGate se conecta a tu servidor a través de Tailscale. Instálalo en la máquina donde ejecutas OpenClaw:

Linux:

curl -fsSL https://tailscale.com/install.sh | sh
tailscale up

macOS/Windows: Descarga desde tailscale.com/download y sigue el asistente de configuración.

3. Crea una cuenta en HomeGate

Regístrate en homegate.sh. Cualquier plan funciona para servicios HTTP.

4. Añade OpenClaw como servicio

Desde el panel de HomeGate, crea un nuevo servicio:

  • Nombre: algo como “openclaw”
  • Clave de autenticación Tailscale: la clave que HomeGate proporciona para conectar tu servidor
  • Destino: tu IP de Tailscale y el puerto de OpenClaw (p. ej., 100.x.x.x:3080)

HomeGate provisiona un subdominio (p. ej., openclaw.homegate.sh) con HTTPS automáticamente.

5. Protégelo con listas de IPs permitidas

OpenClaw tiene su propia autenticación, pero añadir una restricción a nivel de red es una capa de seguridad extra inteligente. En el panel de HomeGate, ve a la configuración de protección de tu servicio y añade tus direcciones IP o rangos CIDR conocidos.

Cualquiera que no esté en la lista será bloqueado antes de que la petición llegue a tu servidor.

6. (Opcional) Añade un dominio personalizado

Si quieres algo como ai.tudominio.com, añade un registro CNAME apuntando a tu subdominio de HomeGate:

ai.tudominio.com  CNAME  openclaw.homegate.sh

El SSL se provisiona automáticamente una vez que el registro DNS se propaga. Normalmente tarda menos de un minuto.

Integraciones con webhooks

Una de las razones por las que querrías que OpenClaw sea accesible desde internet es el soporte de webhooks. Las integraciones con WhatsApp, Telegram y Discord normalmente requieren una URL accesible públicamente para los callbacks.

Con HomeGate, tu instancia de OpenClaw tiene un endpoint HTTPS estable al que estos servicios pueden enviar eventos. Sin problemas de DNS dinámico, sin preocuparte de que tu IP cambie de la noche a la mañana.

Consideraciones de seguridad

OpenClaw maneja datos sensibles: tus conversaciones, credenciales de domótica, claves API de varios servicios. Algunas cosas a tener en cuenta:

  • Usa listas de IPs permitidas. Aunque OpenClaw tiene su propio inicio de sesión, restringir el acceso a nivel de red significa que solo el tráfico de tus IPs conocidas llega a la aplicación.
  • Usa autenticación por cabecera. HomeGate permite requerir una cabecera personalizada (p. ej., X-Auth-Token: tu-secreto) en cada petición. Es útil si quieres una barrera adicional antes de la propia autenticación de OpenClaw.
  • Mantén OpenClaw actualizado. El proyecto avanza rápido. Los parches de seguridad se publican con frecuencia. Actualiza la imagen Docker regularmente.
  • Usa credenciales seguras. Es obvio, pero merece repetirse. Usa una contraseña única y fuerte para tu cuenta de administrador de OpenClaw y activa 2FA si el proyecto lo soporta.

Para terminar

Autoalojar OpenClaw te da control total sobre un agente de IA increíblemente capaz. Hacerlo accesible desde fuera de tu red doméstica no tiene por qué significar comprometer la seguridad ni pelear con la configuración de red de tu ISP.

HomeGate se encarga de la capa de proxy, SSL y protección de IP para que puedas centrarte en usarlo. La configuración completa lleva unos 5 minutos.

Crea una cuenta en HomeGate y pruébalo.

← Volver al blog