proxy.enabled · OPENCLAW_PROXY_URL · runbook huit étapes · contrôles VNC
OpenClaw v2026.4.27 formalise un routage proxy HTTP forward sortant opéré par l’équipe plateforme pour le runtime : activation via configuration (proxy.enabled, proxy.proxyUrl) ou variable shell seule OPENCLAW_PROXY_URL, avec validation stricte des URL forward-proxy en http:// et nettoyage de l’état du dispatcher proxy à l’arrêt. La même livraison resserre le comportement de démarrage Gateway et poursuit la migration vers des métadonnées plugin pilotées par manifeste, ce qui change la sensation de « démarrage à froid » lorsque la découverte fournisseur ou l’actualisation tarifaire rivalise pour la bande passante. Dans une banque, un site industriel ou une agence régionale qui impose un hôte de sortie unique, l’échec rarement « OpenClaw ignore le proxy » — il s’agit plutôt de trafic console loopback mal acheminé ou d’une inspection TLS qui casse à mi-parcours les téléchargements de catalogue. Ce guide sépare le TLS proxy inverse entrant (comment les utilisateurs joignent Gateway) de la politique forward-proxy sortante (comment Gateway joint OpenAI, Anthropic, les API Slack, etc.), propose une matrice symptômes, un runbook en huit étapes, quatre faits réutilisables dans les tickets et une checklist VNC sur un Mac loué. À lire avec triage accès bureau / VNC entreprise et durcissement proxy inverse Gateway HTTPS — ce sont des angles différents du même graphe.
Opérationnellement, chaque modification de sortie doit partager un propriétaire avec la rotation DNS ou certificats sur le bord public ; sinon le produit lit des canaux lents comme une « panne fournisseur » alors qu’un fichier PAC réécrit silencieusement le forwarder. Documentez si le démon tourne sous launchd, systemd ou session manuelle ; sans cela les exports interactifs et l’environnement service divergent et reproduisent des boucles 407 impossibles à prioriser. Sur Mac distants sans session graphique dédiée, vous perdez la possibilité de confronter visuellement les réglages proxy système aux valeurs ticket — la section cinq comble ce trou.
Si vous enchaînez de grosses migrations, décalez ou étiquetez clairement les runs smoke qui mélangent migrate et répertoires plugin avec des changements réseau ; sinon les chronologies de boot se superposent et les régressions deviennent non démontrables. Pour les secrets du proxy, ajoutez dans le même bon de livraison une référence à SecretRef et audit ainsi qu’aux exceptions pare-feu — les mots de passe en clair dans profils shell restent la première cause de désaccord entre deux configurations pourtant valides.
Enfin, un portable qui change de Wi‑Fi invité rend les tests PAC bruyants ; un Mac cloud figé par snapshot isole les essais proxy et raccourcit les escalades. Après staging réussi, propagez la politique à l’équipe et reliez les symptômes récurrents au guide erreurs fréquentes et dépannage pour éviter que la garde suivante reparte de zéro.
La configuration proxy « automatique » de macOS aide Safari et beaucoup d’applications graphiques, mais les CLI Node l’ignorent souvent tant que vous n’exportez pas des variables classiques comme HTTP_PROXY. Les boutons explicites d’OpenClaw réduisent les devinettes : vous déclarez le forwarder une fois au niveau runtime, validez le schéma et comptez sur des hooks d’arrêt pour éviter un câblage dispatcher obsolète après rotation. Cela n’inscrit pas automatiquement les profils Chrome utilisés pour Meet ou l’automatisation navigateur — ceux-ci suivent leurs propres politiques ; votre runbook doit nommer les deux piles.
Les notes de version soulignent aussi la sémantique de contournement Gateway loopback uniquement : forcer la Control UI locale via un MITM d’entreprise produit des échecs WebSocket qui ressemblent à des bugs applicatifs. Traitez « console localhost » et « API Internet » comme deux tables de routage distinctes ; copier une ligne dans l’autre est la recette classique d’incident nocturne.
Dans les environnements très contraints, tracez quelles AC racines le forwarder présente et si des épingles de certificat changent après mise à jour — sinon l’équipe lit des erreurs TLS sporadiques comme une panne modèle. Gardez les scripts de mesure courts et reproductibles : deux points de terminaison fournisseur plus éventuellement l’URL PAC suffisent souvent à distinguer « partiellement bloqué » de « totalement hors ligne ».
Intention opérateur : sortie auditée avec identifiants rotatifs plutôt qu’exports ad hoc dans douze profils shell.
Réalités TLS : les proxys transparents doivent présenter des racines approuvées par l’organisation à la pile TLS d’OpenClaw ; sinon vous traquez des erreurs fantômes de « panne modèle ».
Séparation de l’entrant : terminer TLS sur nginx/Caddy devant Gateway ne configure pas automatiquement les fetch amont — gardez la documentation disjointe.
Hygiène secrets : aligner les mots de passe proxy avec les flux SecretRef lorsque c’est pertinent.
Télémétrie : capturer les durées de handshake avant et après activation proxy ; joindre aux tickets de changement.
Employez la matrice comme fonction de routage pour l’astreinte. Quand la dernière colonne dit « mal lu comme … », ne rejouez pas le même playbook sous un autre nom.
| Symptôme | Vérifier d’abord | Ensuite | Mauvaise lecture |
|---|---|---|---|
| Gateway sain mais canaux bloqués des minutes | Fetch catalogue / pricing sortant bloqué par le proxy | Chemin régénération manifeste plugin | « Régression plugin Telegram » |
| 407 / boucles d’auth proxy | Identifiants incohérents entre launchd et shells interactifs | PAC écrasant une URL explicite | « Plafond fournisseur » |
| Échecs WS Control UI | Navigateur forcé via proxy d’entreprise pour localhost | En-têtes Upgrade manquants sur proxy inverse | « Bug SSL OpenClaw » |
| CPU en pointe seulement au boot | Scans manifeste parallèles | Contention disque sur petits volumes cloud | « Besoin d’un LLM plus gros » |
Mesurez boot→prêt et canal→prêt indépendamment ; ne fusionnez les chronologies qu’après deux feux verts.
v2026.4.27 livre aussi du durcissement transversal (bornes Telegram, timeouts socket Slack, ordre préchauffage Gateway). Si votre régression coïncide avec des correctifs canal, bissectez en désactivant temporairement les plugins non essentiels plutôt qu’en basculant le proxy deux fois par minute — vous évitez du bruit corrélé dans les journaux.
Dans les environnements hybrides, surveillez les fuseaux dans l’agrégateur : un forwarder en UTC et des journaux Gateway en heure locale transforment parfois un simple décalage planifié en fausse causalité. Une phrase dans le document d’incident suffit souvent pour épargner du temps en rétro.
Exécutez séquentiellement sur un hôte de staging qui reflète la sortie production. Documentez URL proxy, domaine d’authentification et ID d’approbation de contournement d’urgence avant de toucher la prod.
Épingler versions : confirmer que openclaw --version affiche v2026.4.27 (ou votre patch figé) ; noter la distribution Node.
Archiver configs : tarball des racines de config plus plist launchd ou fragments systemd.
Test egress brut : sous le même compte service, lancer curl -v vers deux fournisseurs et l’URL PAC interne si elle existe.
Appliquer proxy OpenClaw : activer les clés structurées ou exporter OPENCLAW_PROXY_URL uniquement pour l’environnement du démon ; éviter les doublons conflictuels HTTP_PROXY sauf nécessité.
Passage doctor : exécuter openclaw doctor ; corriger les avertissements de schéma avant les boucles de restart qui gaspillent les quotas.
Redémarrage & horodatage : journaliser l’horloge murale du démarrage processus jusqu’au premier marqueur canal sain.
Sonde chat à faible risque : prompt minimal sans outillage lourd sur deux canaux.
Publier les notes : lier ce changement au guide schémas d’erreurs courants pour les triages futurs.
export OPENCLAW_PROXY_URL="http://proxy.corp.example.com:8080" openclaw doctor openclaw gateway restart
Note : les clés évoluent ; faites confiance à openclaw doctor et à la documentation officielle plutôt qu’à des fragments YAML copiés-collés.
Après le smoke, le ticket devrait contenir au minimum trois nombres : durée jusqu’à Gateway « ready », temps jusqu’au premier canal « online », et un échantillon RTT pour un appel fournisseur représentatif. Sans cette base triple, les ponts d’incident rejouent la même discussion sous tension renouvelée.
À faire sous le même utilisateur macOS que le service Gateway. Suivre les journaux uniquement en SSH manque les overrides proxy côté navigateur.
| Contrôle | Comment | Succès |
|---|---|---|
| Proxy système | Réglages réseau / PAC. | Aligné sur la politique ; pas de dérive. |
| Control UI | Onglet Réseau des devtools navigateur. | WS 101 ; pas de contenu mixte. |
| Env démon | Inspecter l’environnement parent. | Correspond aux valeurs ticket. |
| Double curl | Deux fournisseurs via proxy. | TLS stable sans tempête de retry. |
| Sonde canal | Message à faible risque. | Pas de tempête de retry. |
Louer un Mac cloud dédié isole les essais proxy des profils Wi‑Fi itinérants sur portable : vous figez une image, prouvez la pile, puis promouvez — moins cher que des guerres PAC pendant une panne sur un ultrabook partagé. Notez aussi quel client d’écran partagé est utilisé ; certains viewers injectent des valeurs proxy par défaut dans des navigateurs embarqués.
Si plusieurs administrateurs sont connectés, vérifiez rapidement le basculement rapide d’utilisateur et les sessions orphelines — source fréquente de « proxy défini mais processus ne le voit pas ». Un fonctionnement single-user cohérent pour Gateway évite les états à moitié valides.
TLS entrant vs responsabilité forward-proxy sortant.
Lire →Joindre le Mac avant d’affiner la sortie OpenClaw.
Lire →Grosses montées de version à côté des changements réseau.
Lire →Pas de remplacement automatique — alignez les deux volontairement et surveillez les PAC.
Exempter le trafic console localhost ; envoyer le HTTPS amont via le forwarder approuvé.
Contrôlez la chronologie de boot Gateway et le TLS sortant avant de réinstaller les bundles.
La CLI couvre beaucoup ; les contrôles navigateur demandent encore une preuve au niveau VNC.
Le support proxy sortant transforme les incidents « Slack est coincé » opaques en tickets réseau routables — à condition de respecter la sémantique loopback et de capturer les chronologies.
Posséder un portable qui change de réseau chaque semaine rend les tests PAC bruyants ; un Mac Apple Silicon loué offre un bac à sable fixe.
Pour poursuivre : flux d’achat ; catalogue plus large sur la page d’accueil ; rejouez la section cinq sur le nœud.