guia openclaw self-hosting ia segurança

Self-Hosting do OpenClaw com HomeGate: Acesso Seguro ao Teu Agente de IA

Como expor a tua instância de OpenClaw auto-alojada à internet com SSL automático, lista de IPs permitidos e zero port forwarding usando HomeGate.

HomeGate Team ·

O OpenClaw tornou-se um dos projetos open source mais falados do ano, ultrapassando as 250 mil estrelas no GitHub mais rápido do que qualquer outro projeto. Se não conheces: é um agente de IA auto-alojado que se liga ao WhatsApp, Telegram, Discord e mais. Consegue controlar dispositivos de domótica, gerir o teu e-mail, responder a perguntas usando os teus próprios documentos e fazer muitas das coisas para as quais normalmente precisarias de meia dúzia de produtos SaaS.

O ponto forte é que tudo corre no teu hardware. As tuas conversas, os teus dados, as tuas chaves API. Nada sai da tua rede a menos que tu decidas.

Mas há um senão. Se queres aceder ao OpenClaw fora da tua rede doméstica (do telemóvel enquanto estás fora, ou a partir de uma integração webhook), precisas de o expor à internet. E é aqui que as coisas ficam complicadas.

O problema da exposição

Executar o OpenClaw em casa é fácil. Docker Compose, algumas variáveis de ambiente e está feito. A interface web corre na porta 3080 por padrão, e podes aceder a partir de qualquer dispositivo na tua rede local.

Os problemas começam quando tentas torná-lo acessível de fora. A abordagem tradicional é mais ou menos assim:

  1. Obter um IP estático ou configurar DNS dinâmico
  2. Redirecionar a porta 3080 no teu router
  3. Configurar um reverse proxy (nginx, Caddy, Traefik)
  4. Obter um certificado SSL com Let’s Encrypt
  5. Configurar uma firewall
  6. Esperar que o teu ISP não use CGNAT

Este último ponto é um obstáculo para muita gente. Se o teu ISP usa CGNAT (Carrier-Grade NAT), o port forwarding simplesmente não funciona. O teu router não tem um IP público real, e nenhuma configuração vai mudar isso.

Mesmo sem CGNAT, esta configuração expõe o teu IP doméstico a qualquer pessoa que consulte o teu domínio. Para um serviço que gere as tuas conversas privadas e controlos de domótica, isso não é ideal.

Como o HomeGate resolve isto

O HomeGate fica entre a internet e o teu servidor doméstico. O tráfego chega pela nossa infraestrutura, é encaminhado por um túnel Tailscale seguro até à tua máquina, e o teu IP doméstico nunca aparece nos registos DNS nem nos cabeçalhos HTTP.

Isto é o que recebes:

  • HTTPS automático. Os certificados SSL são provisionados e renovados sem qualquer configuração.
  • IP oculto. O teu endereço doméstico fica privado. Os visitantes veem o IP do HomeGate, não o teu.
  • Funciona atrás de CGNAT. Sem port forwarding, sem IP estático necessário.
  • Lista de IPs permitidos. Restringe quem pode aceder à tua instância do OpenClaw por endereço IP ou intervalo CIDR.
  • Domínios personalizados. Usa openclaw.teudominio.com ou um subdomínio gratuito *.homegate.sh.

Passo a passo: expor o OpenClaw com HomeGate

1. Confirma que o OpenClaw está a correr

Se ainda não configuraste o OpenClaw, a documentação oficial guia-te pelo processo. A configuração com Docker Compose é a mais simples. Depois de estar a correr, confirma que consegues aceder à interface web em http://localhost:3080 a partir da mesma máquina.

2. Instala o Tailscale

O HomeGate liga-se ao teu servidor através do Tailscale. Instala-o na máquina que corre o OpenClaw:

Linux:

curl -fsSL https://tailscale.com/install.sh | sh
tailscale up

macOS/Windows: Descarrega de tailscale.com/download e segue o assistente de configuração.

3. Cria uma conta HomeGate

Regista-te em homegate.sh. Qualquer plano funciona para serviços HTTP.

4. Adiciona o OpenClaw como serviço

A partir do painel do HomeGate, cria um novo serviço:

  • Nome: algo como “openclaw”
  • Chave de autenticação Tailscale: a chave que o HomeGate fornece para ligar o teu servidor
  • Destino: o teu IP Tailscale e a porta do OpenClaw (por ex., 100.x.x.x:3080)

O HomeGate provisiona um subdomínio (por ex., openclaw.homegate.sh) com HTTPS automaticamente.

5. Protege-o com lista de IPs permitidos

O OpenClaw tem a sua própria autenticação, mas adicionar uma restrição a nível de rede é uma camada extra de segurança inteligente. No painel do HomeGate, vai às definições de proteção do teu serviço e adiciona os teus endereços IP ou intervalos CIDR conhecidos.

Qualquer pessoa que não esteja na lista é bloqueada antes de a requisição chegar ao teu servidor.

6. (Opcional) Adiciona um domínio personalizado

Se queres algo como ai.teudominio.com, adiciona um registo CNAME a apontar para o teu subdomínio HomeGate:

ai.teudominio.com  CNAME  openclaw.homegate.sh

O SSL é provisionado automaticamente assim que o registo DNS propaga. Normalmente demora menos de um minuto.

Integrações com webhooks

Uma das razões para querer o OpenClaw acessível pela internet é o suporte a webhooks. As integrações com WhatsApp, Telegram e Discord normalmente requerem um URL acessível publicamente para callbacks.

Com o HomeGate, a tua instância do OpenClaw tem um endpoint HTTPS estável para o qual esses serviços podem enviar eventos. Sem dores de cabeça com DNS dinâmico, sem preocupações com mudanças de IP durante a noite.

Considerações de segurança

O OpenClaw lida com dados sensíveis: as tuas conversas, credenciais de domótica, chaves API de vários serviços. Algumas coisas a ter em conta:

  • Usa a lista de IPs permitidos. Mesmo com o login próprio do OpenClaw, restringir o acesso a nível de rede significa que só o tráfego dos teus IPs conhecidos chega à aplicação.
  • Usa autenticação por cabeçalho. O HomeGate permite exigir um cabeçalho personalizado (por ex., X-Auth-Token: teu-segredo) em cada requisição. É útil como barreira adicional antes da autenticação do próprio OpenClaw.
  • Mantém o OpenClaw atualizado. O projeto evolui rápido. Correções de segurança são lançadas com frequência. Atualiza a imagem Docker regularmente.
  • Usa credenciais fortes. É óbvio, mas vale a pena repetir. Usa uma palavra-passe única e forte para a tua conta de administrador do OpenClaw e ativa 2FA se o projeto o suportar.

Para concluir

Auto-alojar o OpenClaw dá-te controlo total sobre um agente de IA incrivelmente capaz. Torná-lo acessível fora da tua rede doméstica não precisa de significar comprometer a segurança nem lutar com a configuração de rede do teu ISP.

O HomeGate trata da camada de proxy, SSL e proteção de IP para que te possas focar em usá-lo. A configuração completa demora cerca de 5 minutos.

Cria uma conta HomeGate e experimenta.

← Voltar ao blog