Points clés
- Traitez 18789 comme une surface produit : portée de bind, ACL tunnel et vérification des webhooks se conçoivent ensemble — un maillon absent revient à un shell public en pratique.
- Choisissez le tunnel selon la propriété DNS et l’identité : ngrok accélère les démos jetables ; Cloudflare Tunnel s’intègre aux zones d’entreprise, politiques d’accès et certificats longue durée sur l’hôte loué.
- Les erreurs MCP sont souvent du chemin, pas du protocole : mauvaise URL de base derrière le tunnel, en-têtes de jeton périmés, registre d’outils encore pointé vers la boucle d’un ancien compose.
- La durée de bail suit les preuves : montez jour → semaine → mois → trimestre seulement lorsque la pente disque, le volume de hooks et le RTT régional restent « ennuyeux » — documentez d’abord la topologie passerelle et le budget d’inodes.
1. Port 18789 : exposition externe et garde-fous
L’écouteur passerelle OpenClaw sur 18789 fait le lien entre automatisation locale et Internet. Avant d’ouvrir un chemin, notez trois réponses : qui peut se connecter, depuis quels réseaux, et que se passe-t-il après le TLS (jeton, mTLS ou en-têtes signés). Préférez boucle locale + tunnel à une écoute 0.0.0.0 sur l’hôte nu, sauf si un pare-feu de bord dédié protège le bail.
Liste garde-fou : faites tourner les jetons passerelle quand l’URL du tunnel change ; exigez Authorization sur toute route autre que santé ; limitez le débit des webhooks au bord tunnel ou au reverse proxy ; gardez /healthz séparé des routes de contrôle authentifiées. Si webhooks et MCP partagent un hôte, préfixez les chemins (/hooks/… contre /mcp/…) pour que WAF ou règles Access divergent. Pour la séquence « première heure » où 18789 et Node 22 sont gelés avant tout tunnel public, voir OpenClaw × Mac distant (2026) : liste reproductible « première heure à froid » — port 18789, Node 22, régions APAC / US Est et latence LLM, M4 16 Go / 24 Go et matrice jour → trimestre des baux.
2. ngrok contre Cloudflare Tunnel : comment trancher en 2026
ngrok reste le trajet le plus court entre « ça marche en SSH » et une URL HTTPS signée : un binaire, peu de DNS, idéal pour les locations à la journée et les démos où le nom peut être éphémère. Surveillez les plafonds de session, les limites d’agents et le fait que les sous-domaines aléatoires compliquent les listes d’autorisation webhook côté SaaS — sans nom réservé, vous ré-enregistrez les URL à chaque redémarrage du tunnel.
Cloudflare Tunnel (cloudflared) convient aux équipes déjà dans le DNS Cloudflare : noms stables, politiques Access en périphérie, alignement plus simple avec l’SSO d’entreprise. Vous payez un peu plus de câblage initial pour moins d’incidents « pourquoi notre URL webhook a changé cette nuit ? », précieux quand vous passez d’essais hebdomadaires à des baux mensuels ou trimestriels. Les tunnels uniquement sortants évitent d’ouvrir des ports entrants sur le Mac, ce qui simplifie les audits.
| Critère | ngrok (typique) | Cloudflare Tunnel (typique) |
|---|---|---|
| Délai jusqu’à la première URL HTTPS | Minutes ; pics et démos | Heures une fois DNS, Access et jetons posés |
| Stabilité du nom d’hôte | Réservation possible ; sinon éphémère | CNAME stable sous votre zone |
| Pare-feu entrant sur le Mac | Souvent relais vers localhost | Connecteur sortant uniquement |
| SSO / politique org. | Léger ; auth dans l’app | Access, WAF, journaux de bord |
3. Webhooks, routes MCP et dépannage ordonné
Les webhooks doivent vérifier les signatures en temps constant, rejeter les rejoués hors une courte fenêtre d’horloge et persister idempotency-key (ou équivalent fournisseur) avant la mise en file. Si la passerelle accepte un hook puis appelle des outils MCP, journalisez l’ID de corrélation de bout en bout pour qu’un outil en échec ne ressemble pas à une mauvaise signature lorsque le client retente.
Les pannes MCP se regroupent en quatre paquets : (1) mauvaise URL de base — le tunnel termine en HTTP alors que le client impose HTTPS, ou le chemin pointe encore vers un ancien slug ; (2) dérive d’auth — jeton passerelle renouvelé mais pas propagé vers la config client MCP ; (3) décalage de registre — noms d’outils mis à jour côté serveur mais manifeste IDE obsolète ; (4) limites ressources — corps ou flux concurrents au-delà de ce que 16 Go unifiés absorbent à côté de la passerelle. Parcourez cette liste avant d’incriminer le protocole. Pour rappels sur validation entrante, files et audit alignés avec les runners Mac cloud, voir OpenClaw : callbacks et runners Mac cloud — validation entrante à faible confiance, isolation d’exécution, retries idempotents, observabilité et champs d’audit.
4. APAC / US Est, M4, baux et stockage parallèle — FAQ
Région : mesurez TLS et latence jusqu’au premier octet depuis le bail vers vos fournisseurs de modèles et vers les systèmes appelés par les webhooks — pas depuis votre portable. APAC réduit la double traversée lorsque l’équipe et les données sont en région ; US Est gagne souvent lorsque les API amont, miroirs npm et services de signature s’y concentrent. Si l’egress tunnel diffère de l’egress direct (DNS scindé), validez les deux chemins.
16 Go contre 24 Go M4 : seize gigaoctets suffisent pour passerelle + une voie MCP + volume webhook modeste si les caches sont plafonnés. Passez à 24 Go lorsque navigateurs, simulateurs ou second runner restent au chaud à côté de l’agent tunnel, ou lorsque les tampons de journaux gonflent sous rafales de hooks. Pour relier montée en charge mémoire et passage location jour → mensuel sur passerelle reproductible, voir OpenClaw × Mac Apple Silicon distant (2026) : déploiement reproductible du Gateway, nœuds et choix mémoire M4, du louer à la journée au mensuel stable. Avant d’ajouter des volumes parallèles, alignez rétention et nettoyage avec Runners Mac cloud Apple Silicon : disque et inodes (Derived Data, conteneurs, logs) | Blog kvmboot — le parallélisme est de la capacité, pas une stratégie de sauvegarde, et les règles d’inodes s’appliquent par volume.
| Question | Réponse pratique |
|---|---|
| Faut-il deux Mac pour tunnel et builds ? | Souvent un hôte 24 Go suffit ; ajoutez un nœud parallèle lorsque le CPU ou l’I/O disque — pas seulement la RAM — saturent sous hooks et compilations superposés. |
| Partager une URL tunnel pour webhooks et MCP ? | Oui, avec chemins et politiques distincts ; des noms d’hôte séparés restent plus propres pour Access et quotas. |
| Bail trimestriel mais URL qui change chaque semaine ? | Corrigez DNS et tunnel en premier ; un bail long amplifie la douleur d’intégration lorsque les tiers épinglent votre URL webhook. |
5. Conclusion
Expédier OpenClaw à travers un tunnel, c’est un mini déploiement de bord : identité stable, entrée vérifiée, rayon d’explosion borné sur 18789, observabilité qui survit au renouvellement du bail. Une fois ces quatre points figés, webhooks et MCP redeviennent une infrastructure ennuyeuse — au bon sens du terme.
Faites tourner tunnels et passerelle sur du silicium taillé pour le 7×24
Le Mac mini M4 combine mémoire unifiée large et consommation au repos faible — utile lorsque cloudflared ou un agent ngrok voisine OpenClaw pendant des jours. macOS empile Gatekeeper, SIP et un socle Unix familier, de sorte que la même machine qui termine le TLS peut héberger scripts d’observabilité sans empiler une pile de télécontrôle fragile. Quand le volume de webhooks grimpe, la stabilité se lit en moins d’astreintes nocturnes, pas en MHz supplémentaires.
Si vous voulez des baux APAC ou US Est où 18789, tunnels et marge disque restent alignés avec la façon dont vous exécutez réellement les agents, le Mac mini M4 cloud kvmboot reste un point de validation pragmatique — voir les offres et tarifs et calquez les paliers 16 Go ou 24 Go sur le chevauchement mesuré sous charge webhook réelle.