OpenClaw 2026：カナダのリモートMac M4でSSHトンネルと直結ゲートウェイのどちらを選ぶ？gateway.remote.token・18789・PATH／launchdの手順と排障対照

クラウド上のカナダ拠点MacでOpenClawを動かすとき、クライアントからGatewayへ届ける経路は大きく二つに分かれます。開発者ノートPCからssh -Lで127.0.0.1:18789へ中継するトンネル型と、VPN／ゼロトラスト／リバースプロキシの背後で18789を直接さらす直結型です。前者はポート公開を増やさず検証が速く、後者は常駐Botや社外SaaSからの到達性が高い一方、トークンとTLS終端の設計責務が重くなります。全体の定番手順とログ対照はOpenClaw 2026をリモートMacで安定運用 — 導入スクリプトとonboard、Gateway 18789／トークン／LaunchDaemon、ログ対照表、カナダ中高配M4の7×24と重なりますが、本稿は経路選択とgateway.remote.token、PATH、launchdの実務ステップに絞ります。地域レイテンシの前提整理は2026年版リモートMacの地域選び：シンガポール／日本／韓国／香港／カナダ — 北米補完、M4構成、ストレージ、開発とテストを併読すると打ち合わせが早いです。

1. トンネルか直結か：意思決定の軸

トンネルは「リモートMacのループバックにだけGatewayを束ねる」前提が成立するとき向きです。社内IPやSSH鍵で入れるメンバー限定、一時的なPoC、ポートスキャン面の露出を抑えたいケースに合います。直結は「常時待ちのクライアントがインターネット越しに叩く」設計で、リバースプロキシで443終端し背後を18789に流すパターンが多いです。ゼロトラストやmTLSを前段に置けるなら直結側の運用コストを下げられますが、トークンのローテとWAFログの監査が必須になります。

2. SSHローカルフォワードの最小例

手元のブラウザやCLIをlocalhost経由でリモートGatewayに繋ぐ典型形です。セッションが切れるとフォワードも消えるため、長時間はautosshやServerAliveIntervalの併用を検討します。

ssh -N -L 18789:127.0.0.1:18789 [email protected]

3. 直結ゲートウェイと18789

GatewayのHTTP待受は多くの構成で18789が既定です。外向きに生で開けるより、NginxやCaddyでTLSを終端し、上流だけhttp://127.0.0.1:18789へプロキシする形が無難です。競合プロセスがポートを掴んでいるとEADDRINUSEになるので、lsof -i :18789で所有者を確認してからopenclaw gateway statusを見ます。

4. gateway.remote.tokenの置き場所

リモート接続を許可する設定では、共有シークレットや短命トークンを環境変数・設定ファイル・macOSキーチェーンのいずれかに寄せます。画面収録やチャットに貼らず、CIではシークレットストア経由で注入してください。ヘッダ名の取り違えやプロキシによるAuthorization欠落は401に見えるため、まずHTTPアクセスログとクライアント側ログを突き合わせます。

5. PATHとlaunchdの分步

GUIやlaunchdから起動すると対話シェルのPATHと異なり、openclawが見つからないことがあります。plistのProgramArgumentsはフルパスか、EnvironmentVariablesでPATHを明示します。常駐はLaunchDaemon（全ユーザー）かLaunchAgent（ログインユーザ）を選び、変更後はlaunchctl bootoutとbootstrapのペアで二重登録を避けます。手順の網羅とログ対照は先述の7×24稿を一次資料にしてください。

<key>EnvironmentVariables</key>
<dict>
  <key>PATH</key>
  <string>/opt/homebrew/bin:/usr/local/bin:/usr/bin:/bin</string>
</dict>

6. 排障対照（抜粋）

7. まとめ

検証と閉域アクセスならSSHトンネル、常時外向きサービスならTLS終端＋直結が主戦場です。18789の競合、トークン運搬、launchdのPATHは現場で繰り返し踏むので、Runbookに表形式で固定しておくとカナダノードでも他リージョンでも再利用できます。