이 글이 맞는 검색 의도

OpenClaw는 2026년 상반기 GitHub에서 빠르게 주목받는 자체 호스팅 AI Agent 스택입니다. Gateway를 LAN이나 VPS에 올려 두면 Telegram·Slack·로컬 CLI 등 여러 채널에서 같은 에이전트를 돌릴 수 있지만, 실제 추론은 Claude·GPT·Gemini 같은 상류 클라우드 API에 의존합니다. 배포 직후 게이트웨이는 떴는데 모델 호출만 타임아웃이라는 검색이 늘어나는 이유가 바로 이 지점입니다.

사이트에 이미 있는 다수의 Clash Verge Rev + 터미널/IDE 프록시 글과 달리, 이 문서는 라우터 OpenClash + 도메인 규칙 세트에 초점을 맞춥니다. 즉 한 대 PC에만 프록시를 깔아 두는 방식이 아니라, OpenWrt OpenClash로 가족·사무실 LAN 전체의 출구를 맞추고, OpenClaw Gateway가 돌아가는 서버까지 동일한 분기 규칙을 적용하는 흐름입니다. 다중 벤더 API 도메인을 한 프로필에서 관리하고 싶은 homelab·소규모 팀에 맞춘 실측 가이드입니다.

OpenClaw에서 자주 보이는 API 연결 증상

증상은 대개 세 갈래로 갈립니다. 첫째, TLS 핸드셰이크·DNS lookup 실패로 로그에 ENOTFOUND·ETIMEDOUT이 찍힙니다. ISP DNS나 지역 필터링 구간을 그대로 탔을 때 흔합니다. 둘째, HTTP 403·451·지역 제한으로 응답은 오지만 본문에 access denied가 있습니다. 출구 IP가 API 허용 리전과 맞지 않을 때입니다. 셋째, 간헐적 끊김으로 짧은 요청은 되다가 스트리밍·긴 컨텍스트에서만 실패합니다. 불안정한 노드·DNS 누설·이중 프록시가 겹칠 때 재현됩니다.

브라우저에서 제공자 콘솔은 열리는데 OpenClaw만 실패한다면, 게이트웨이 프로세스의 네트워크 스택이 PC 브라우저와 다르다는 뜻입니다. Docker bridge·호스트 네트워크 모드, HTTP_PROXY 미설정, LAN 게이트웨이가 메인 공유기 직결이면서 OpenClash 부라우터를 거치지 않는 경우를 순서대로 의심하세요.

팁: OpenClaw Gateway 로그와 OpenClash 연결 로그를 같은 시각대에 맞춰 보면, 실패한 호스트가 DIRECT로 떨어졌는지 REJECT됐는지 바로 갈립니다. 증상 설명만으로는 해결책이 갈리므로 호스트 문자열을 먼저 확정하세요.

PC Clash Verge Rev만으로는 부족한 경우

Clash Verge Rev는 개발용 노트북에서 규칙 실험·로그 확인·TUN/mixed-port 조합에 매우 유리합니다. 다만 OpenClaw를 NAS·미니 PC·홈서버에 상시 구동하면, 그 호스트는 PC 클라이언트의 시스템 프록시 혜택을 받지 못하는 경우가 많습니다. SSH로 들어가 Docker Compose를 올린 뒤 API 키만 넣었는데 연결이 안 되는 전형적인 패턴입니다.

또 스마트폰·태블릿·가족 PC까지 같은 Anthropic·OpenAI·Google AI 도메인 규칙을 쓰려면 단말마다 클라이언트를 설치·업데이트하는 부담이 큽니다. OpenClash는 DHCP 게이트웨이·DNS·TUN/리다이렉트 중 하나(또는 조합)로 투명에 가깝게 LAN 트래픽을 YAML 규칙에 태울 수 있어, OpenClaw와 다른 IoT·미디어 기기가 같은 정책 그룹을 공유하기 쉽습니다. 저전력 라우터 CPU 한계는 있지만, 무헤드 Agent 게이트웨이 + 여러 단말 조합에서는 역할 분리가 현실적입니다.

OpenClaw Gateway가 치는 상류 API 도메인

OpenClaw는 설정에 따라 Anthropic Claude, OpenAI, Google Generative Language / Gemini 등 여러 백엔드를 동시에 둘 수 있습니다. 각 제공자는 REST·스트리밍 SSE·WebSocket 등 전송 방식이 다르지만, Clash 계열 규칙에서 중요한 것은 TLS SNI에 잡히는 호스트 이름입니다.

대표적으로 자주 등장하는 패턴은 다음과 같습니다(버전·리전·엔드포인트 alias에 따라 달라질 수 있음).

  • Anthropic: api.anthropic.com 및 관련 CDN·인증 호스트
  • OpenAI: api.openai.com, *.openai.azure.com(Azure OpenAI 사용 시)
  • Google AI: generativelanguage.googleapis.com, aiplatform.googleapis.com

구독 YAML에 GEOSITE·PROXY 묶음이 잘 잡혀 있으면 대부분 자동 분기되지만, OpenClaw가 커스텀 베이스 URL·리버스 프록시·리전별 게이트웨이를 쓰면 예외 호스트가 생깁니다. 공식 문서의 API base를 메모해 두고, 실패 시 OpenClash 로그에서 실제 SNI를 추가하는 습관이 필요합니다.

1단계: OpenClash 구독·프로필 기본선 맞추기

이미 OpenWrt에 OpenClash가 있다면, LuCI에서 구독 URL을 받아 활성 프로필로 지정하고 코어를 재시작합니다. 처음 설치하는 경우에는 OpenClash OpenWrt 구독·정책 그룹 가이드의 1~3단계를 먼저 따라 프로필이 메모리에 올라왔는지 확인하세요.

규칙 모드(Rule)를 기본으로 두고, PROXY 또는 제공자가 안내하는 메인 정책 그룹에서 실제 출구 노드를 고릅니다. OpenClaw 테스트 전에 일괄 지연 테스트로 불안정한 노드를 걸러 두면, Agent 스트리밍 중간 끊김을 줄일 수 있습니다. NTP 시간 동기화·디스크 여유·코어 버전 호환도 API TLS 오류와 겹치면 디버깅이 어려워지므로 함께 점검합니다.

2단계: 다중 벤더 API용 도메인 규칙 보강

구독 기본 규칙만으로 OpenClaw 호출이 DIRECT로 빠진다면, 프로필 상단(더 구체적인 규칙이 위에 오도록)에 DOMAIN-SUFFIX 또는 DOMAIN-KEYWORD 줄을 추가합니다. 예시는 아래와 같습니다. 실제 노드 그룹 이름은 본인 구독 YAML의 proxy-groups에 맞게 바꿔야 합니다.

# OpenClaw / multi-vendor AI API – adjust group name to your subscription
rules:
  - DOMAIN-SUFFIX,anthropic.com,PROXY
  - DOMAIN-SUFFIX,openai.com,PROXY
  - DOMAIN-SUFFIX,openai.azure.com,PROXY
  - DOMAIN-SUFFIX,googleapis.com,PROXY
  - DOMAIN-SUFFIX,google.com,PROXY
  # ... existing GEOSITE / MATCH rules below

주의: google.com 전체를 PROXY로 보내면 국내 Google 서비스 체감이 달라질 수 있습니다. 더 좁게 generativelanguage.googleapis.com만 지정하는 편이 안전한 경우도 많습니다. 규칙 추가 후 코어 리로드를 잊지 말고, OpenClash 연결 로그에서 OpenClaw 테스트 호출이 의도한 그룹으로 분류되는지 확인하세요.

주의: OpenClaw 호스트에 Clash Verge Rev나 다른 로컬 프록시를 동시에 켜 두면, 라우터 분기와 HTTP_PROXY가 이중으로 걸려 루프·DNS 누설이 날 수 있습니다. 라우터 분기를 쓸 때는 게이트웨이 호스트의 로컬 프록시·TUN을 잠시 끄고 비교 테스트하세요.

3단계: OpenClaw 호스트·LAN 게이트웨이 정렬

OpenClaw Gateway가 돌아가는 장비(NAS IP 192.168.1.50 등)가 OpenClash가 켜진 라우터를 기본 게이트웨이로 쓰는지 확인합니다. 흔한 구성은 두 가지입니다.

  1. 메인 공유기 대체: OpenWrt + OpenClash가 WAN·LAN의 중심이고, 모든 DHCP 클라이언트가 자동으로 분기 규칙을 탑니다.
  2. 부라우터(옆 라우터): ISP 모뎀·메인 AP는 직결이고, OpenClash 라우터를 선택적 게이트웨이로 두어 OpenClaw 서버·개발 VLAN만 그쪽으로 보냅니다.

부라우터 구성에서는 DHCP 옵션 3(게이트웨이)·옵션 6(DNS)이 메인 AP와 충돌하지 않도록 표로 정리하는 것이 좋습니다. OpenClaw를 Docker로 돌릴 때 bridge 네트워크는 호스트와 다른 DNS를 쓸 수 있으므로, compose 파일의 dns: 항목을 OpenClash 라우터 IP로 맞추거나 network_mode: host 여부를 문서화해 두세요.

4단계: DNS 누설·IPv6 점검

프록시 경로는 맞는데 API만 이상하면 DNS가 우회 밖으로 새는지를 봅니다. OpenClash 프로필마다 fake-ip·redir-host·dns-hijack 설계가 다릅니다. OpenClaw 호스트가 8.8.8.8 등 공용 DNS를 고정해 두면, 도메인 조회만 직결·차단 구간을 타고 실제 TCP는 PROXY로 가는 분리 증상이 납니다.

IPv6가 활성화된 회선이면 AAAA 레코드 경로가 IPv4와 달라져 OpenClaw만 실패하는 경우도 있습니다. 문제 분리를 위해 테스트 순간 IPv6를 끄거나, 듀얼 스택을 일관되게 맞추는 실험을 해 볼 수 있습니다. LAN 전체 정책을 바꿀 때는 다른 가족 장치 영향도 함께 고려하세요.

5단계: OpenClaw에서 재현·검증

규칙·게이트웨이·DNS를 맞춘 뒤 OpenClaw에서 짧은 채팅 한 번긴 컨텍스트·스트리밍 호출을 각각 시도합니다. 동시에 OpenClash 연결 로그에서 해당 시각의 SNI가 PROXY 그룹으로 분류됐는지 확인합니다.

호스트에서 직접 확인하려면(게이트웨이와 같은 셸에서):

curl -vI https://api.anthropic.com
curl -vI https://api.openai.com/v1/models
curl -vI https://generativelanguage.googleapis.com

TLS가 성공해도 HTTP 401·403이면 네트워크가 아니라 API 키·리전·요금제 문제일 수 있습니다. OpenClaw 설정의 provider 블록·환경 변수·키 로테이션을 함께 점검하세요. 네트워크 쪽이 해결되면 로그의 ETIMEDOUT·certificate류 메시지는 사라지고, 남는 것은 순수 API 인증 오류만 보이게 됩니다.

부라우터·VLAN 운영 시 추가 팁

메인 공유기를 건드리기 어려운 가정·임대 사무실에서는 OpenClash 부라우터만 OpenClaw·개발 PC VLAN에 연결하는 방식이 흔합니다. 이때 policy routing·정적 라우트·mDNS 반사 이슈로 LAN discovery가 깨지지 않는지 확인하세요. OpenClaw가 Telegram·Slack webhook을 받는다면 인바운드 포트 포워딩은 메인 공유기 쪽 설정과 충돌하지 않아야 합니다.

저전력 ARM 라우터에서는 OpenClaw Gateway와 OpenClash 코어를 같은 박스에 올리기도 하지만, CPU·RAM이 빠듯하면 스트리밍 Agent와 규칙 세트 갱신이 겹칠 때 지연이 커집니다. 가능하면 게이트웨이는 x86 미니 PC·NAS, 분기는 전용 OpenWrt로 나누는 편이 장시간 세션에 유리합니다.

자주 막히는 증상과 대응 순서

  • 로그에 DIRECT만 보인다: DOMAIN 규칙 순서·GEOSITE 충돌·프로필 미적용을 확인하고 코어를 리로드합니다.
  • 브라우저 curl은 되는데 OpenClaw만 실패: Docker DNS·HTTP_PROXY·게이트웨이 IP 불일치를 봅니다.
  • 한 제공자만 실패: 해당 벤더 SNI만 규칙에 추가하고, 출구 IP 리전이 API 허용 범위인지 확인합니다.
  • 재부팅 후만 실패: OpenClash 자동 시작·구독 갱신·NTP·오버레이 저장 공간을 점검합니다.
  • 간헐적 끊김: 노드 품질·동시 접속 한도·이중 VPN·로컬 CVR TUN 충돌을 순서대로 제거합니다.

자주 묻는 질문

Q. OpenClaw에 HTTP_PROXY를 넣지 않고 라우터만으로 충분한가요?
A. LAN 게이트웨이·DNS·TUN/리다이렉트가 OpenClaw 호스트 트래픽을 OpenClash로 보내면 대부분 충분합니다. Docker bridge·특정 CNI가 우회를 빠져나가면 그때만 컨테이너에 HTTP_PROXY를 추가하세요.

Q. Azure OpenAI·로컬 Ollama만 쓰면 규칙이 달라지나요?
A. Azure는 *.openai.azure.com 등 별도 호스트가 필요합니다. Ollama 등 LAN 로컬 추론은 DIRECT·사설 IP 규칙으로 명시해 PROXY 그룹에 실수로 태지 않게 하는 것이 좋습니다.

Q. OpenClash와 Clash Verge Rev 구독을 같이 써도 되나요?
A. 같은 YAML·구독 URL을 PC와 라우터에서 공유하는 것은 흔한 패턴입니다. 다만 동시 접속 한도·약관을 확인하고, 규칙 실험은 CVR에서 한 뒤 검증된 프로필만 라우터에 올리면 운영 부담이 줄어듭니다.

정리: 단말 클라이언트와 라우터를 어떻게 나눌까

OpenClash는 OpenClaw처럼 항상 켜 둔 Gateway와 스마트폰·태블릿까지 같은 다중 벤더 API 규칙을 한 번에 적용하기에 맞습니다. 반면 규칙 디버깅·연결 로그 가독성·빠른 프로필 교체는 Clash Verge Rev 같은 데스크톱 클라이언트가 유리합니다. 상용 VPN 앱은 AI API 호스트별 세밀한 DOMAIN-SUFFIX 분기를 사용자가 직접 다루기 어렵고, Mihomo·Clash Meta 호환 스택은 동일 YAML을 PC와 OpenWrt에서 재사용하기 좋습니다.

노트북에서만 OpenClaw CLI를 실험한다면 CVR 한 줄기로도 충분하지만, 가족 LAN·NAS Gateway·다중 채널 Agent까지 염두에 두었다면 OpenClash 라우터 분기가 장기적으로 덜 깨집니다. 이 글에서 다룬 구독·도메인 규칙·게이트웨이 정렬 흐름을 PC 클라이언트와 병행하면, 규칙은 CVR에서 다듬고 라우터에는 검증된 프로필만 올리는 혼합 운영도 자연스럽습니다.

Clash 클라이언트를 받아 OpenClaw·OpenClash와 같은 규칙 패턴을 PC에서도 유지하기 →