guida openclaw self-hosting ia sicurezza

Self-Hosting di OpenClaw con HomeGate: Accesso Sicuro al Tuo Agente IA

Come esporre la tua istanza di OpenClaw self-hosted su internet con SSL automatico, whitelist IP e zero port forwarding usando HomeGate.

HomeGate Team ·

OpenClaw è diventato uno dei progetti open source più discussi dell’anno, superando le 250.000 stelle su GitHub più velocemente di qualsiasi altro progetto. Se non lo conosci: è un agente IA self-hosted che si collega a WhatsApp, Telegram, Discord e altro. Può controllare dispositivi smart home, gestire le tue e-mail, rispondere a domande usando i tuoi documenti e fare molte delle cose per cui normalmente avresti bisogno di mezza dozzina di prodotti SaaS.

Il suo punto di forza è che tutto gira sul tuo hardware. Le tue conversazioni, i tuoi dati, le tue chiavi API. Niente esce dalla tua rete a meno che tu non lo voglia.

Ma c’è un problema. Se vuoi accedere a OpenClaw da fuori della tua rete domestica (dal telefono quando sei fuori, o da un’integrazione webhook), devi esporlo su internet. Ed è qui che le cose si complicano.

Il problema dell’esposizione

Far girare OpenClaw a casa è semplice. Docker Compose, alcune variabili d’ambiente e sei operativo. L’interfaccia web gira sulla porta 3080 di default, e puoi raggiungerla da qualsiasi dispositivo nella tua rete locale.

I problemi iniziano quando provi a renderlo accessibile dall’esterno. L’approccio tradizionale è questo:

  1. Ottenere un IP statico o configurare un DNS dinamico
  2. Inoltrare la porta 3080 sul tuo router
  3. Configurare un reverse proxy (nginx, Caddy, Traefik)
  4. Ottenere un certificato SSL con Let’s Encrypt
  5. Configurare un firewall
  6. Sperare che il tuo ISP non usi CGNAT

L’ultimo punto è un ostacolo per molte persone. Se il tuo ISP usa CGNAT (Carrier-Grade NAT), il port forwarding semplicemente non funziona. Il tuo router non ha un IP pubblico reale, e nessuna configurazione cambierà questo fatto.

Anche senza CGNAT, questa configurazione espone il tuo IP domestico a chiunque cerchi il tuo dominio. Per un servizio che gestisce le tue conversazioni private e i controlli smart home, non è il massimo.

Come HomeGate risolve il problema

HomeGate si posiziona tra internet e il tuo server domestico. Il traffico arriva attraverso la nostra infrastruttura, viene instradato tramite un tunnel Tailscale sicuro verso la tua macchina, e il tuo IP domestico non appare mai nei record DNS o negli header HTTP.

Ecco cosa ottieni:

  • HTTPS automatico. I certificati SSL vengono provisionati e rinnovati senza alcuna configurazione.
  • IP nascosto. Il tuo indirizzo domestico resta privato. I visitatori vedono l’IP di HomeGate, non il tuo.
  • Funziona dietro CGNAT. Niente port forwarding, niente IP statico necessario.
  • Whitelist IP. Limita chi può accedere alla tua istanza OpenClaw per indirizzo IP o range CIDR.
  • Domini personalizzati. Usa openclaw.tuodominio.com o un sottodominio gratuito *.homegate.sh.

Passo dopo passo: esporre OpenClaw con HomeGate

1. Assicurati che OpenClaw sia in esecuzione

Se non hai ancora configurato OpenClaw, la documentazione ufficiale ti guida passo dopo passo. Il setup con Docker Compose è il più semplice. Una volta avviato, verifica di poter accedere all’interfaccia web su http://localhost:3080 dalla stessa macchina.

2. Installa Tailscale

HomeGate si connette al tuo server tramite Tailscale. Installalo sulla macchina che fa girare OpenClaw:

Linux:

curl -fsSL https://tailscale.com/install.sh | sh
tailscale up

macOS/Windows: Scarica da tailscale.com/download e segui la procedura guidata.

3. Crea un account HomeGate

Registrati su homegate.sh. Qualsiasi piano funziona per i servizi HTTP.

4. Aggiungi OpenClaw come servizio

Dal pannello di HomeGate, crea un nuovo servizio:

  • Nome: qualcosa come “openclaw”
  • Chiave di autenticazione Tailscale: la chiave che HomeGate fornisce per collegare il tuo server
  • Destinazione: il tuo IP Tailscale e la porta di OpenClaw (ad es., 100.x.x.x:3080)

HomeGate provisiona un sottodominio (ad es., openclaw.homegate.sh) con HTTPS automaticamente.

5. Bloccalo con la whitelist IP

OpenClaw ha la sua autenticazione, ma aggiungere una restrizione a livello di rete è un livello di sicurezza extra intelligente. Nel pannello HomeGate, vai alle impostazioni di protezione del tuo servizio e aggiungi i tuoi indirizzi IP o range CIDR conosciuti.

Chiunque non sia nella lista viene bloccato prima che la richiesta raggiunga il tuo server.

6. (Opzionale) Aggiungi un dominio personalizzato

Se vuoi qualcosa come ai.tuodominio.com, aggiungi un record CNAME che punta al tuo sottodominio HomeGate:

ai.tuodominio.com  CNAME  openclaw.homegate.sh

Il certificato SSL viene provisionato automaticamente una volta che il record DNS si propaga. Di solito ci vuole meno di un minuto.

Integrazioni webhook

Uno dei motivi per rendere OpenClaw accessibile da internet è il supporto ai webhook. Le integrazioni con WhatsApp, Telegram e Discord richiedono tipicamente un URL raggiungibile pubblicamente per i callback.

Con HomeGate, la tua istanza OpenClaw ha un endpoint HTTPS stabile verso cui questi servizi possono inviare eventi. Niente grattacapi con DNS dinamico, niente preoccupazioni per il cambio di IP durante la notte.

Considerazioni sulla sicurezza

OpenClaw gestisce dati sensibili: le tue conversazioni, credenziali smart home, chiavi API di vari servizi. Alcune cose da tenere a mente:

  • Usa la whitelist IP. Anche se OpenClaw ha il suo login, restringere l’accesso a livello di rete significa che solo il traffico dai tuoi IP conosciuti raggiunge l’applicazione.
  • Usa l’autenticazione via header. HomeGate supporta la richiesta di un header personalizzato (ad es., X-Auth-Token: il-tuo-segreto) per ogni richiesta. Utile come barriera aggiuntiva prima dell’autenticazione propria di OpenClaw.
  • Mantieni OpenClaw aggiornato. Il progetto si muove velocemente. Le patch di sicurezza escono di frequente. Aggiorna l’immagine Docker regolarmente.
  • Usa credenziali robuste. Sembra ovvio, ma vale la pena ripeterlo. Usa una password unica e forte per il tuo account admin OpenClaw e abilita il 2FA se il progetto lo supporta.

Per concludere

Self-hostare OpenClaw ti dà il controllo totale su un agente IA incredibilmente capace. Renderlo accessibile dall’esterno della tua rete domestica non deve significare compromettere la sicurezza o lottare con la configurazione di rete del tuo ISP.

HomeGate gestisce il livello proxy, SSL e protezione IP per permetterti di concentrarti sull’utilizzo. L’intera configurazione richiede circa 5 minuti.

Crea un account HomeGate e provalo.

← Torna al blog