Skip to Content
👋 Willkommen bei HowToUseOpenClaw Schnellstart
InstallationAnsible

Ansible-Installation

Die empfohlene Art, OpenClaw auf Produktionsservern auszurollen, ist openclaw-ansible  — ein automatisierter Installer mit Security-First-Architektur.

Schnellstart

Installation mit einem Befehl:

curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash

📦 Vollständige Anleitung: github.com/openclaw/openclaw-ansible  Das openclaw-ansible-Repo ist die Referenz für die Ansible-Installation. Diese Seite ist nur eine Kurzübersicht.

Was du bekommst

  • 🔒 Firewall zuerst: UFW + Docker-Isolierung (nur SSH + Tailscale erreichbar)
  • 🔐 Tailscale VPN: Sicherer Fernzugriff ohne öffentliche Dienste
  • 🐳 Docker: Isolierte Sandbox-Container, nur localhost-Bindings
  • 🛡️ Defense in Depth: 4-Schichten-Sicherheitsarchitektur
  • 🚀 Ein-Befehl-Setup: Vollständige Bereitstellung in Minuten
  • 🔧 Systemd-Integration: Auto-Start beim Boot mit Hardening

Voraussetzungen

  • OS: Debian 11+ oder Ubuntu 20.04+
  • Zugriff: Root oder sudo-Rechte
  • Netzwerk: Internetverbindung für Paketinstallation
  • Ansible: 2.14+ (wird vom Schnellstart-Skript automatisch installiert)

Was installiert wird

Das Ansible-Playbook installiert und konfiguriert:

  1. Tailscale (Mesh-VPN für sicheren Fernzugriff)
  2. UFW-Firewall (nur SSH + Tailscale-Ports)
  3. Docker CE + Compose V2 (für Agent-Sandboxes)
  4. Node.js 22.x + pnpm (Laufzeit-Abhängigkeiten)
  5. OpenClaw (hostbasiert, nicht containerisiert)
  6. Systemd-Service (Auto-Start mit Sicherheits-Hardening)

Hinweis: Das Gateway läuft direkt auf dem Host (nicht in Docker), die Agent-Sandboxes nutzen Docker zur Isolierung. Siehe Sandboxing für Details.

Setup nach der Installation

Nach Abschluss der Installation zum openclaw-Benutzer wechseln:

sudo -i -u openclaw

Das Post-Install-Skript führt dich durch:

  1. Onboarding-Wizard: OpenClaw-Einstellungen konfigurieren
  2. Provider-Login: WhatsApp/Telegram/Discord/Signal verbinden
  3. Gateway-Test: Installation prüfen
  4. Tailscale-Setup: Mit deinem VPN-Mesh verbinden

Schnellbefehle

# Service-Status prüfen
sudo systemctl status openclaw

# Live-Logs anzeigen
sudo journalctl -u openclaw -f

# Gateway neu starten
sudo systemctl restart openclaw

# Provider-Login (als openclaw-Benutzer ausführen)
sudo -i -u openclaw
openclaw channels login

Sicherheitsarchitektur

4-Schichten-Absicherung

  1. Firewall (UFW): Nur SSH (22) + Tailscale (41641/udp) öffentlich erreichbar
  2. VPN (Tailscale): Gateway nur über das VPN-Mesh erreichbar
  3. Docker-Isolierung: DOCKER-USER-iptables-Kette verhindert externen Port-Zugriff
  4. Systemd-Hardening: NoNewPrivileges, PrivateTmp, unprivilegierter Benutzer

Verifikation

Angriffsfläche von außen testen:

nmap -p- DEINE_SERVER_IP

Es sollte nur Port 22 (SSH) offen sein. Alle anderen Dienste (Gateway, Docker) sind abgesichert.

Docker-Verfügbarkeit

Docker wird für Agent-Sandboxes (isolierte Tool-Ausführung) installiert, nicht um das Gateway selbst zu betreiben. Das Gateway bindet nur an localhost und ist über Tailscale VPN erreichbar. Siehe Multi-Agent Sandbox & Tools für die Sandbox-Konfiguration.

Manuelle Installation

Wenn du die Automation lieber manuell steuerst:

# 1. Voraussetzungen installieren
sudo apt update && sudo apt install -y ansible git

# 2. Repository klonen
git clone https://github.com/openclaw/openclaw-ansible.git
cd openclaw-ansible

# 3. Ansible-Collections installieren
ansible-galaxy collection install -r requirements.yml

# 4. Playbook ausführen
./run-playbook.sh

# Oder direkt (dann manuell /tmp/openclaw-setup.sh ausführen):
# ansible-playbook playbook.yml --ask-become-pass

OpenClaw aktualisieren

Der Ansible-Installer richtet OpenClaw für manuelle Updates ein. Siehe Aktualisieren für den üblichen Update-Ablauf. Um das Ansible-Playbook erneut auszuführen (z. B. bei Config-Änderungen):

cd openclaw-ansible
./run-playbook.sh

Hinweis: Idempotent, mehrfache Ausführung ist unkritisch.

Fehlerbehebung

Firewall blockiert meine Verbindung

Wenn du ausgesperrt bist:

  • Zuerst Zugriff über Tailscale VPN sicherstellen
  • SSH-Zugriff (Port 22) ist immer erlaubt
  • Das Gateway ist bewusst nur über Tailscale erreichbar

Service startet nicht

# Logs prüfen
sudo journalctl -u openclaw -n 100

# Berechtigungen prüfen
sudo ls -la /opt/openclaw

# Manuellen Start testen
sudo -i -u openclaw
cd ~/openclaw
pnpm start

Docker-Sandbox-Probleme

# Prüfen, ob Docker läuft
sudo systemctl status docker

# Sandbox-Image prüfen
sudo docker images | grep openclaw-sandbox

# Sandbox-Image bauen, falls fehlend
cd /opt/openclaw/openclaw
sudo -u openclaw ./scripts/sandbox-setup.sh

Provider-Login schlägt fehl

Stelle sicher, dass du als Benutzer openclaw läufst:

sudo -i -u openclaw
openclaw channels login

Erweiterte Konfiguration

Für Details zur Sicherheitsarchitektur und Fehlerbehebung:

Verwandte Themen

Zuletzt aktualisiert am:
Bun