guide openclaw auto-hébergement ia sécurité

Auto-héberger OpenClaw avec HomeGate : un accès sécurisé à votre agent IA

Comment exposer votre instance OpenClaw auto-hébergée sur Internet avec SSL automatique, liste blanche IP et zéro redirection de port grâce à HomeGate.

HomeGate Team ·

OpenClaw est devenu l’un des projets open source les plus discutés de l’année, dépassant les 250 000 étoiles sur GitHub plus vite que n’importe quel autre projet. Si vous ne connaissez pas : c’est un agent IA auto-hébergé qui se connecte à WhatsApp, Telegram, Discord et plus encore. Il peut contrôler vos appareils domotiques, gérer vos e-mails, répondre à des questions en utilisant vos propres documents, et faire beaucoup de choses pour lesquelles vous auriez normalement besoin d’une demi-douzaine de produits SaaS.

Son principal atout est que tout tourne sur votre matériel. Vos conversations, vos données, vos clés API. Rien ne quitte votre réseau sauf si vous le décidez.

Mais il y a un hic. Si vous voulez accéder à OpenClaw depuis l’extérieur de votre réseau domestique (depuis votre téléphone en déplacement, ou via une intégration webhook), vous devez l’exposer sur Internet. Et c’est là que ça se complique.

Le problème de l’exposition

Faire tourner OpenClaw chez soi est simple. Docker Compose, quelques variables d’environnement, et c’est parti. L’interface web écoute sur le port 3080 par défaut, et vous pouvez y accéder depuis n’importe quel appareil de votre réseau local.

Les difficultés commencent quand vous essayez de le rendre accessible de l’extérieur. L’approche classique ressemble à ça :

  1. Obtenir une IP fixe ou configurer un DNS dynamique
  2. Rediriger le port 3080 sur votre routeur
  3. Mettre en place un reverse proxy (nginx, Caddy, Traefik)
  4. Obtenir un certificat SSL avec Let’s Encrypt
  5. Configurer un pare-feu
  6. Espérer que votre FAI n’utilise pas le CGNAT

Ce dernier point est un obstacle majeur pour beaucoup de gens. Si votre FAI utilise le CGNAT (Carrier-Grade NAT), la redirection de port ne fonctionne tout simplement pas. Votre routeur n’a pas de véritable IP publique, et aucune configuration n’y changera quoi que ce soit.

Et même sans CGNAT, cette configuration expose votre IP domestique à quiconque consulte votre domaine. Pour un service qui gère vos conversations privées et vos commandes domotiques, ce n’est pas l’idéal.

Comment HomeGate résout ce problème

HomeGate se place entre Internet et votre serveur domestique. Le trafic arrive via notre infrastructure, est acheminé à travers un tunnel Tailscale sécurisé vers votre machine, et votre IP domestique n’apparaît jamais dans les enregistrements DNS ni les en-têtes HTTP.

Voici ce que vous obtenez :

  • HTTPS automatique. Les certificats SSL sont provisionnés et renouvelés sans aucune configuration.
  • IP masquée. Votre adresse domestique reste privée. Les visiteurs voient l’IP de HomeGate, pas la vôtre.
  • Fonctionne derrière le CGNAT. Pas de redirection de port, pas d’IP fixe requise.
  • Liste blanche IP. Limitez l’accès à votre instance OpenClaw par adresse IP ou plage CIDR.
  • Domaines personnalisés. Utilisez openclaw.votredomaine.com ou un sous-domaine gratuit *.homegate.sh.

Pas à pas : exposer OpenClaw avec HomeGate

1. Vérifiez qu’OpenClaw tourne

Si vous n’avez pas encore installé OpenClaw, la documentation officielle vous guide pas à pas. L’installation via Docker Compose est la plus simple. Une fois en route, vérifiez que vous pouvez accéder à l’interface web sur http://localhost:3080 depuis la même machine.

2. Installez Tailscale

HomeGate se connecte à votre serveur via Tailscale. Installez-le sur la machine qui fait tourner OpenClaw :

Linux :

curl -fsSL https://tailscale.com/install.sh | sh
tailscale up

macOS/Windows : Téléchargez depuis tailscale.com/download et suivez l’assistant d’installation.

3. Créez un compte HomeGate

Inscrivez-vous sur homegate.sh. N’importe quel forfait convient pour les services HTTP.

4. Ajoutez OpenClaw comme service

Depuis le tableau de bord HomeGate, créez un nouveau service :

  • Nom : quelque chose comme “openclaw”
  • Clé d’authentification Tailscale : la clé que HomeGate fournit pour connecter votre serveur
  • Cible : votre IP Tailscale et le port d’OpenClaw (par ex., 100.x.x.x:3080)

HomeGate provisionne un sous-domaine (par ex., openclaw.homegate.sh) avec HTTPS automatiquement.

5. Verrouillez l’accès avec la liste blanche IP

OpenClaw a sa propre authentification, mais ajouter une restriction au niveau réseau est une couche de sécurité supplémentaire judicieuse. Dans le tableau de bord HomeGate, allez dans les paramètres de protection de votre service et ajoutez vos adresses IP ou plages CIDR connues.

Toute personne absente de la liste est bloquée avant même que la requête n’atteigne votre serveur.

6. (Optionnel) Ajoutez un domaine personnalisé

Si vous voulez quelque chose comme ai.votredomaine.com, ajoutez un enregistrement CNAME pointant vers votre sous-domaine HomeGate :

ai.votredomaine.com  CNAME  openclaw.homegate.sh

Le SSL est provisionné automatiquement une fois l’enregistrement DNS propagé. Cela prend généralement moins d’une minute.

Intégrations webhook

L’une des raisons de rendre OpenClaw accessible depuis Internet est le support des webhooks. Les intégrations WhatsApp, Telegram et Discord nécessitent généralement une URL accessible publiquement pour les callbacks.

Avec HomeGate, votre instance OpenClaw dispose d’un endpoint HTTPS stable vers lequel ces services peuvent envoyer des événements. Plus de soucis de DNS dynamique ni de changement d’IP pendant la nuit.

Considérations de sécurité

OpenClaw manipule des données sensibles : vos conversations, vos identifiants domotiques, vos clés API pour divers services. Quelques points à garder en tête :

  • Utilisez la liste blanche IP. Bien qu’OpenClaw ait son propre système de connexion, restreindre l’accès au niveau réseau signifie que seul le trafic provenant de vos IP connues atteint l’application.
  • Utilisez l’authentification par en-tête. HomeGate permet d’exiger un en-tête personnalisé (par ex., X-Auth-Token: votre-secret) pour chaque requête. C’est utile si vous voulez un verrou supplémentaire avant l’authentification propre d’OpenClaw.
  • Gardez OpenClaw à jour. Le projet évolue vite. Les correctifs de sécurité sont fréquents. Mettez à jour l’image Docker régulièrement.
  • Utilisez des identifiants solides. C’est évident, mais ça vaut la peine de le répéter. Utilisez un mot de passe unique et fort pour votre compte admin OpenClaw et activez le 2FA si le projet le prend en charge.

Pour conclure

Auto-héberger OpenClaw vous donne le contrôle total d’un agent IA remarquablement puissant. Le rendre accessible depuis l’extérieur de votre réseau domestique ne doit pas se faire au détriment de la sécurité ni en luttant contre la configuration réseau de votre FAI.

HomeGate gère la couche proxy, le SSL et la protection IP pour que vous puissiez vous concentrer sur l’utilisation du service. L’installation complète prend environ 5 minutes.

Créez un compte HomeGate et essayez-le.

← Retour au blog