无公网IP方案内网穿透实现OpenClawGLM-4.7-Flash远程调用1. 为什么需要内网穿透上周我在尝试用OpenClaw对接本地部署的GLM-4.7-Flash模型时遇到了一个典型问题微信公众号平台要求配置IP白名单而我的开发机位于公司内网没有固定公网IP。这个问题其实在很多需要外部系统回调的场景都会遇到比如企业微信机器人、钉钉消息推送等。传统解决方案是申请云服务器做反向代理但这样既增加了成本又引入了不必要的网络跳转。经过几天的实践我发现用内网穿透工具可以完美解决这个问题。下面分享我的具体实现过程包括踩过的坑和最终验证通过的方案。2. 方案选型与对比2.1 常见内网穿透工具我主要测试了两种主流方案frp开源工具需要自建中转服务器配置稍复杂但可控性强ngrok商业服务提供现成的穿透域名开箱即用但有免费版限制对于OpenClaw这种需要临时测试的场景我最终选择了frp方案。原因有三微信公众号白名单要求长期稳定免费ngrok域名会变化frp可以绑定自己的域名符合企业级应用规范流量经过自有服务器敏感数据不会经过第三方2.2 基础架构设计整个方案的网络流向如下[微信公众号平台] → [frp公网服务器:7000] → [frp内网客户端] → [本地OpenClaw:18789] → [GLM-4.7-Flash模型]关键点在于frp服务端运行在具有公网IP的云服务器上frp客户端与OpenClaw同机部署GLM-4.7-Flash通过ollama本地运行3. 具体实施步骤3.1 frp服务端配置首先在云服务器Ubuntu 22.04上部署frp服务端wget https://github.com/fatedier/frp/releases/download/v0.52.3/frp_0.52.3_linux_amd64.tar.gz tar -zxvf frp_0.52.3_linux_amd64.tar.gz cd frp_0.52.3_linux_amd64编辑服务端配置文件frps.ini[common] bind_port 7000 authentication_method token token your_secure_token_here启动服务端nohup ./frps -c ./frps.ini frps.log 21 3.2 frp客户端配置在运行OpenClaw的本地机器上我的是MacBook Pro配置客户端。下载对应版本的frp后编辑frpc.ini[common] server_addr your.server.ip server_port 7000 token your_secure_token_here [openclaw] type tcp local_ip 127.0.0.1 local_port 18789 remote_port 7001启动客户端nohup ./frpc -c ./frpc.ini frpc.log 21 3.3 OpenClaw配置调整修改OpenClaw的配置文件~/.openclaw/openclaw.json确保网关绑定到正确接口{ gateway: { host: 0.0.0.0, port: 18789 } }重启OpenClaw网关openclaw gateway restart3.4 微信公众号白名单配置此时通过curl ifconfig.me获取云服务器的公网IP将其加入微信公众号平台的IP白名单。注意只需要放行frp服务端的IP而不是所有可能的出口IP。4. 安全增强措施在测试过程中我发现几个需要特别注意的安全问题Token保护frp的token相当于密码务必使用强密码且不要提交到代码仓库端口暴露frp服务端的7000端口需要在安全组中开放但应该限制访问源IP临时性测试完成后应当关闭frp服务长期使用建议配置防火墙规则我的做法是在云服务器上添加iptables规则iptables -A INPUT -p tcp --dport 7000 -s your.office.ip -j ACCEPT iptables -A INPUT -p tcp --dport 7000 -j DROP5. 效果验证配置完成后可以通过以下步骤验证在公网机器上测试端口连通性telnet your.server.ip 7001通过公网地址访问OpenClaw面板http://your.server.ip:7001在微信公众号后台配置服务器地址为http://your.server.ip:7001/webhook/wechat我实际测试了公众号自动发布功能从触发到完成发布平均耗时3.2秒取决于模型响应速度比直接调用公有云API的方案延迟略高但数据完全在内部流转安全性显著提升。6. 常见问题排查在实施过程中我遇到了几个典型问题问题1frp连接不稳定现象客户端频繁断开重连解决方案在frpc.ini中添加tcp_mux false参数问题2微信公众号提示配置失败检查点白名单IP是否为frp服务器IPOpenClaw网关是否绑定到0.0.0.0防火墙是否放行了7001端口问题3GLM-4.7-Flash响应慢优化方法在ollama启动时添加--numa参数为OpenClaw配置模型超时参数{ models: { timeout: 30000 } }7. 更优方案探讨经过两周的实际使用我发现这种方案虽然可行但仍有改进空间域名替代IP为frp服务端配置域名避免IP变化导致白名单失效HTTPS加密在frp服务端配置Nginx反向代理添加SSL证书自动启停编写脚本实现按需启动穿透服务减少暴露时间对于需要更高安全要求的场景可以考虑使用Cloudflare Tunnel等企业级解决方案但配置复杂度会显著增加。获取更多AI镜像想探索更多AI镜像和应用场景访问 CSDN星图镜像广场提供丰富的预置镜像覆盖大模型推理、图像生成、视频生成、模型微调等多个领域支持一键部署。
无公网IP方案:内网穿透实现OpenClaw+GLM-4.7-Flash远程调用
无公网IP方案内网穿透实现OpenClawGLM-4.7-Flash远程调用1. 为什么需要内网穿透上周我在尝试用OpenClaw对接本地部署的GLM-4.7-Flash模型时遇到了一个典型问题微信公众号平台要求配置IP白名单而我的开发机位于公司内网没有固定公网IP。这个问题其实在很多需要外部系统回调的场景都会遇到比如企业微信机器人、钉钉消息推送等。传统解决方案是申请云服务器做反向代理但这样既增加了成本又引入了不必要的网络跳转。经过几天的实践我发现用内网穿透工具可以完美解决这个问题。下面分享我的具体实现过程包括踩过的坑和最终验证通过的方案。2. 方案选型与对比2.1 常见内网穿透工具我主要测试了两种主流方案frp开源工具需要自建中转服务器配置稍复杂但可控性强ngrok商业服务提供现成的穿透域名开箱即用但有免费版限制对于OpenClaw这种需要临时测试的场景我最终选择了frp方案。原因有三微信公众号白名单要求长期稳定免费ngrok域名会变化frp可以绑定自己的域名符合企业级应用规范流量经过自有服务器敏感数据不会经过第三方2.2 基础架构设计整个方案的网络流向如下[微信公众号平台] → [frp公网服务器:7000] → [frp内网客户端] → [本地OpenClaw:18789] → [GLM-4.7-Flash模型]关键点在于frp服务端运行在具有公网IP的云服务器上frp客户端与OpenClaw同机部署GLM-4.7-Flash通过ollama本地运行3. 具体实施步骤3.1 frp服务端配置首先在云服务器Ubuntu 22.04上部署frp服务端wget https://github.com/fatedier/frp/releases/download/v0.52.3/frp_0.52.3_linux_amd64.tar.gz tar -zxvf frp_0.52.3_linux_amd64.tar.gz cd frp_0.52.3_linux_amd64编辑服务端配置文件frps.ini[common] bind_port 7000 authentication_method token token your_secure_token_here启动服务端nohup ./frps -c ./frps.ini frps.log 21 3.2 frp客户端配置在运行OpenClaw的本地机器上我的是MacBook Pro配置客户端。下载对应版本的frp后编辑frpc.ini[common] server_addr your.server.ip server_port 7000 token your_secure_token_here [openclaw] type tcp local_ip 127.0.0.1 local_port 18789 remote_port 7001启动客户端nohup ./frpc -c ./frpc.ini frpc.log 21 3.3 OpenClaw配置调整修改OpenClaw的配置文件~/.openclaw/openclaw.json确保网关绑定到正确接口{ gateway: { host: 0.0.0.0, port: 18789 } }重启OpenClaw网关openclaw gateway restart3.4 微信公众号白名单配置此时通过curl ifconfig.me获取云服务器的公网IP将其加入微信公众号平台的IP白名单。注意只需要放行frp服务端的IP而不是所有可能的出口IP。4. 安全增强措施在测试过程中我发现几个需要特别注意的安全问题Token保护frp的token相当于密码务必使用强密码且不要提交到代码仓库端口暴露frp服务端的7000端口需要在安全组中开放但应该限制访问源IP临时性测试完成后应当关闭frp服务长期使用建议配置防火墙规则我的做法是在云服务器上添加iptables规则iptables -A INPUT -p tcp --dport 7000 -s your.office.ip -j ACCEPT iptables -A INPUT -p tcp --dport 7000 -j DROP5. 效果验证配置完成后可以通过以下步骤验证在公网机器上测试端口连通性telnet your.server.ip 7001通过公网地址访问OpenClaw面板http://your.server.ip:7001在微信公众号后台配置服务器地址为http://your.server.ip:7001/webhook/wechat我实际测试了公众号自动发布功能从触发到完成发布平均耗时3.2秒取决于模型响应速度比直接调用公有云API的方案延迟略高但数据完全在内部流转安全性显著提升。6. 常见问题排查在实施过程中我遇到了几个典型问题问题1frp连接不稳定现象客户端频繁断开重连解决方案在frpc.ini中添加tcp_mux false参数问题2微信公众号提示配置失败检查点白名单IP是否为frp服务器IPOpenClaw网关是否绑定到0.0.0.0防火墙是否放行了7001端口问题3GLM-4.7-Flash响应慢优化方法在ollama启动时添加--numa参数为OpenClaw配置模型超时参数{ models: { timeout: 30000 } }7. 更优方案探讨经过两周的实际使用我发现这种方案虽然可行但仍有改进空间域名替代IP为frp服务端配置域名避免IP变化导致白名单失效HTTPS加密在frp服务端配置Nginx反向代理添加SSL证书自动启停编写脚本实现按需启动穿透服务减少暴露时间对于需要更高安全要求的场景可以考虑使用Cloudflare Tunnel等企业级解决方案但配置复杂度会显著增加。获取更多AI镜像想探索更多AI镜像和应用场景访问 CSDN星图镜像广场提供丰富的预置镜像覆盖大模型推理、图像生成、视频生成、模型微调等多个领域支持一键部署。
