NAS Docker 环境下 OpenClaw 一键自动化部署脚本以及部署教程

关键词 (Keywords): OpenClaw 部署 (OpenClaw Deployment), 群晖 Docker (Synology Docker), Macvlan 网络配置 (Macvlan Networking), OpenClaw 1006 错误修复 (Fix OpenClaw 1006 Error), 自建网关管理 (Self-hosted Gateway Management)

在群晖 (Synology) NAS 上部署 OpenClaw 时，网络冲突和 WebSocket 1006 错误往往是初学者的噩梦。本文将深入探讨如何利用 Macvlan 技术为 OpenClaw 分配独立 IP，通过自动化脚本实现环境初始化、强制注入 配置以修复 HTTP 环境下的登录阻碍，并详细解析 参数的避坑逻辑。这是一份沉淀自实战的运维手册，旨在帮助 Homelab 玩家快速构建稳定的网关管理面板。

折腾过 OpenClaw 的朋友都知道，它的“脾气”有点古怪。作为一个旨在统一管理 Clash 内核的现代网关面板，它在设计之初就非常依赖安全的 Web 环境和精准的网络绑定。但在我们的家庭实验室（HomeLab）里，大多数场景是直接通过 IP 访问，或者在内网环境下使用不带证书的 HTTP 协议。这时候，你大概率会遇到连接断开或无法对齐 Token 的情况，报错信息往往指向神秘的 或 。

在群晖这种特定的环境中，直接使用 Docker 的 Host 模式虽然省事，但极易与系统自带的服务（如网盘、Web Station）产生端口冲突。而 Bridge 模式下，复杂的 NAT 转发又会让 OpenClaw 的网关发现机制失效。

今天分享的这套方案，核心思路只有两点：

1. 给容器主权： 使用 Macvlan 让 OpenClaw 在你的局域网里拥有一个“平级”的独立 IP 地址。
2. 强制“降级”安全检测： 通过脚本直接往容器内部“塞”配置文件，强制开启 。别问我为什么不走 UI 勾选，因为当你进不去 UI 的时候，只有脚本能救命。

在动笔写代码前，务必确认你的群晖 NAS 满足以下条件，否则脚本运行到一半卡死，排查起来非常痛苦：

• SSH 权限： 你需要通过 SSH 登录群晖。在“控制面板 -> 终端机和 SNMP”中开启，并建议使用公钥登录，避免频繁输入密码。
• 虚拟交换机 (Open vSwitch)： 如果你的群晖运行了虚拟机（VMM），系统会自动创建 。如果没有运行，物理网卡通常是 。脚本已经做了自动适配，但建议你心里有数。
• 子网规划： 确认你的局域网网段（比如 ），并预留一个未使用的 IP（如 ）给 OpenClaw。
• Docker 套件： 确保已安装并正在运行 Container Manager（新版群晖名称）或 Docker。

请直接复制以下代码，在群晖的 SSH 终端执行。该脚本已将所有避坑逻辑封装，特别针对 HTTP 环境下的 1006 错误做了物理级的配置文件补丁。

Bash

这是一个经常被误解的参数。很多用户习惯性地认为服务启动时应该 来监听所有网卡。

错误认知： “OpenClaw 不接受 0.0.0.0，必须填具体的 IP。”

实战真相： OpenClaw 的 CLI 设计更倾向于一种“模式化”的绑定。

• ： 在某些 Docker 映射环境下，由于 OpenClaw 会尝试探测本地子网掩码和广播地址，直接绑定 可能会导致它探测到错误的网关信息，从而在自动生成 Clash 配置时填入错误的 。
• ： 这是作者推荐的“保命模式”。它会自动寻找容器内被标识为局域网接口的网卡（在 Macvlan 下通常就是 ）。使用 模式，OpenClaw 会聪明地处理多网卡环境，确保 WebSocket 的握手地址与你访问的 IP 一致，从而规避 1006 错误。

避坑指南： 除非你有极其特殊的多网口叠加需求，否则在群晖 Macvlan 环境下，请死守 。脚本中我已经为你设置好了。

1006 错误通常是 WebSocket 连接非正常关闭。在 OpenClaw 中，这通常是因为：

• 安全策略限制： 现代浏览器（尤其是 Chrome）禁止在非 HTTPS 环境下进行敏感的 Token 传输。
• 配置未持久化： 即使你在 UI 里勾选了“允许非安全认证”，如果容器重启且没挂载 目录，设置就会重置，导致你再次被锁在门外。

我的脚本通过在启动前手动创建 并写入 ，从底层逻辑上告诉 OpenClaw：“别管那些安全限制，我是内网环境，听我的。”

部署完成后，虽然服务已经跑起来了，但你需要进行“接管”操作。这是最关键的一步，就像给新买的电脑设置管理员密码。

在群晖 SSH 中输入以下命令进入容器：

Bash

在容器的 shell 中，执行 onboard 脚本。这一步会引导你设置系统的 Secret 和一些基础路径。

openclaw 教程Bash

操作重点：

1. Secret 设置： 系统会提示你输入或生成一个 Secret。这个 Secret 必须和脚本生成的 分开理解。Secret 是用于后端服务间认证的，请务必找个记事本记下来。
2. 路径确认： 它会问你 放在哪，直接一路按回车保持默认即可（因为我们在 Docker 命令里已经挂载好了映射关系）。
3. OpenClaw详细配置教程和使用命令，请参照：NAS Docker OpenClaw 初始化配置全参数调优与AI 助理进阶指南

由于我们使用了 Macvlan，容器在群晖内部是“半透明”的。

• 宿主机互通： 默认情况下，群晖宿主机无法直接访问 Macvlan 容器的 IP（这是 Linux kernel 的安全设计）。如果你需要在群晖的脚本里调用 OpenClaw 的 API，你需要建立一个网桥。
• ADGuard Home 联动： 如果你的 OpenWrt 跑了 AdGuard Home，记得在 OpenClaw 的 DNS 设置里，将上游 DNS 指向 （你的 OpenWrt IP）。

• : 控制面板的 HTTP 监听端口。
• : 允许在未完成向导时启动服务（非常重要，防止初始化失败导致容器死循环重启）。
• : 监听局域网接口。

1. OpenClaw 官方文档: (核心逻辑参考)
2. Docker Macvlan 官方手册: (网络原理参考)
3. 群晖 OVS 网络架构解析:

隐私保护说明：

文中出现的 为示例私有子网，实际部署时脚本会自动清理生成的临时文件。请勿在任何公网论坛泄露您的 和 。

版权脚注：

本文首发于 E路领航 (blog.oool.cc)，转载请注明出处。作者：苏杨 基于 2026 年最新 Docker 架构实践。