Tailscale 一次配置，从任何设备直接访问你的 VPS Dashboard

为什么选 Tailscale 而不是传统方案

SSH 隧道的问题不在于它不能用，而在于它不够持久。断网、关终端、换设备，隧道就断了。Nginx 反向代理加域名是另一种思路，但你需要处理 HTTPS 证书、防火墙规则、公网安全——对一个内部管理面板来说，这些都是过度工程。

Tailscale 本质上是一个基于 WireGuard 的虚拟组网工具，所有设备加入同一个网络后，通过内网 IP 互访。Dashboard 不暴露在公网上，安全性反而比传统方案更高。OpenClaw 官方也把它列为首选方案，说明这条路径已经被充分验证过了。

前置条件

动手之前确认三件事：

• VPS 上 OpenClaw Gateway 已经在运行（openclaw gateway status 显示 Running）
• 本地设备（Mac / Windows / 手机）已安装 Tailscale 并登录同一个账号
• 知道 VPS 的 Tailscale IP（运行 tailscale status，第一行显示，格式类似 100.95.1xx.xx）

第一步：VPS 上安装并登录 Tailscale

在 VPS 上安装 Tailscale 并完成登录，登录后记下 MagicDNS 主机名（tailscale status 会显示）。这个主机名后面会用到。

第二步：开启 Tailscale Serve

这一步是关键——通过 Tailscale Serve 把 Dashboard 的本地端口映射到 Tailscale 网络中。在 VPS 上执行对应的 serve 命令后，注意第一次需要手动启用：浏览器打开命令提示的链接（类似 https://login.tailscale.com/f/serve?...），点击 Enable Serve 即可。

启用后，你会得到一个通过 Tailscale 网络访问的域名。

第三步：获取 Gateway Token

运行对应的 token 获取命令，复制输出的 token（一长串字符串）。这个 token 用于首次登录 Dashboard 时的身份验证。

第四步：解决"origin not allowed"和设备配对

新设备第一次访问时，可能会遇到 "origin not allowed" 的提示。这时候需要完成设备配对流程——本质上是告诉 Gateway 这个新的访问来源是可信的。配对完成后，后续访问就不会再出现这个问题。

第五步：本地设备访问 Dashboard

确保本地 Tailscale App 已连接（图标显示绿色），浏览器打开你的 Tailscale 域名或备用 IP。第一次会看到 Token 输入框，粘贴之前获取的 token，保存后刷新页面，左侧菜单（聊天、控制、概览等）全部出现，就说明配置成功了。

常见优化

• 开机自启：sudo systemctl enable tailscaled，VPS 重启后 Tailscale 自动连接
• 手机访问：Android / iOS 安装 Tailscale App，登录同一账号，打开同一个链接即可
• 免 Token 登录：设置 allowTailscale true 后，通过 Tailscale 网络访问的设备自动跳过 Token 验证

整套配置大概十分钟，但省下的是每次远程管理时反复折腾隧道和端口的时间。对于用 OpenClaw 搭建 AI Agent 工作流的独立开发者来说，能在任何地方秒开管理面板，意味着你的自动化基础设施真正做到了"部署完就不用再操心接入问题"。这才是一人公司该有的运维姿态——把精力花在产品上，而不是花在怎么连上自己的服务器上。