本篇要解決什麼:OpenClaw 閘道為什麼連不上上游模型

2026 年上半年,OpenClaw這類自架 AI Agent閘道在 GitHub 與社群討論中持續升溫:你可以在 NAS、mini PC 或區網伺服器上跑一個長駐的 Gateway,把 Telegram、Slack、Web UI 等通道接到 Claude、OpenAI、Google Gemini 等多家雲端模型。實際部署後,最常見的卡關點往往不是 API Key 填錯,而是閘道主機對外連線沒有穩定走代理——某個廠商的 API 偶發能通、換個模型就逾時,或只有從瀏覽器測試正常、OpenClaw 程序本身卻一直重試。

若你已在站內讀過「Claude Code × Clash Verge Rev」「Gemini CLI 終端代理」這類單機 Clash 用戶端教學,本篇要補的是另一塊拼圖:路由器 OpenClash + 多廠商網域規則。當 OpenClaw 不是跑在你筆電上、而是 7×24 掛在區網裡,或你希望家裡所有裝置共用同一套 AI API 出口時,把分流決策放在 OpenWrt OpenClash這一層,會比逐台 PC 配 Clash Verge 更省事,也更容易維護。

先搞懂 OpenClaw 的流量長什麼樣子

OpenClaw 的架構可以粗分為三層:通道層(使用者從哪裡發訊息)、Gateway 閘道層(路由、工具呼叫、會話管理),以及上游模型 API 層(Anthropic、OpenAI、Google 等 HTTPS 端點)。你在搜尋「OpenClaw 怎麼聯網」「OpenClaw API 連不上」時,真正需要穩定的是第三層——閘道程序會依設定輪詢或呼叫不同廠商的 REST/Streaming API,且常伴隨 OAuth、用量統計、CDN 子網域等額外連線,不是只有一個 api.openai.com 就結束。

這也解釋了為什麼「只在本機瀏覽器開官方網站正常」不足以代表 OpenClaw 沒問題:瀏覽器可能走擴充套件代理,而跑在 Docker 或 systemd 裡的 OpenClaw 行程,預設不會讀你桌面的 Clash Verge 設定。若沒有在閘道主機或路由器層把多廠商 API 網域穩定導向可信出口,就會出現間歇性失敗——尤其在你切換模型供應商或 OpenClaw 版本更新後,新增的子網域尚未被規則覆蓋時。

為什麼選 OpenClash 路由器分流,而不是只配 Clash Verge

兩者不是互斥,而是決策點不同

場景 較適合方案 理由
OpenClaw 只跑在個人筆電,且只有你在用 本機 Clash Verge Rev 設定快、連線紀錄好查、適合開發除錯
OpenClaw 跑在 NAS/mini PC,長駐區網 OpenClash 路由器分流 閘道主機不必再裝一套 Clash;重開機規則仍在
手機、平板、其他家庭成員裝置也要穩定連 AI 服務 OpenClash 統一出口 一次維護多廠商網域規則,全家受益
外出時筆電離開家裡 Wi‑Fi Clash Verge Rev 等本機用戶端 路由器管不到外部網路,需本機備援

本篇聚焦已具備或願意部署 OpenWrt + OpenClash的讀者:你可能是把 OpenClash 刷在主路由,也可能是常見的旁路由拓樸(主路由撥號、OpenWrt 小主机當第二閘道)。無論哪一種,核心工作都是:在 Clash 規則裡把 OpenClaw 會用到的多廠商 API 網域明確導向代理策略組,並讓跑 OpenClaw 的那台機器的流量真的經過 OpenClash 決策

開始前三件事:OpenClash 狀態、OpenClaw 主機與合規

在動規則之前,請先確認:

  • OpenClash 已能正常更新訂閱並切換節點:若連一般海外網站都還不穩,請先完成訂閱匯入與策略組基礎設定(可參考站內 OpenClash OpenWrt 訂閱教學),再回來處理 AI API 細規則。
  • 你知道 OpenClaw 跑在哪台機器、IP 是多少:旁路由模式下,必須明確指定這台主機的預設閘道,或啟用透明代理讓其流量被攔截。
  • 在合法合規前提下使用:本站僅說明一般網路分流與排錯,不提供任何規避法規或濫用 API 的指引;請遵守所在地法律與各雲端服務條款。

多廠商 API 網域:OpenClaw 常會碰到哪些後綴

與單一 CLI 工具不同,OpenClaw 作為自架 AI Agent 閘道,可能同時配置多家上游。以下列出實務上常需納入路由器分流規則的網域後綴;實際以你 OpenClash 連線清單中重現逾時時看到的子網域為準,版本更新後可能增減:

Anthropic/Claude

  • anthropic.comclaude.ai — API 與身分驗證相關
  • api.anthropic.com — 常見 REST 端點(亦可能被 SUFFIX 規則覆蓋)

OpenAI

  • openai.comapi.openai.com
  • oaiusercontent.com — 部分下載或 CDN 流量

Google AI/Gemini

  • googleapis.comgenerativelanguage.googleapis.com
  • ai.google.dev — 文件與部分 API 相關連線

其他可能出現的供應商

  • 若你啟用 Azure OpenAI、Groq、Mistral 等,請在 OpenClaw 設定檔確認對應 API base URL,並把其 hostname 一併加入規則。
  • OAuth 或用量後台偶爾會連到 accounts.google.comlogin.microsoftonline.com 等——若 OpenClaw 整合這類登入流程,連線清單裡出現 DIRECT 時也要補規則。

重點不是背誦完整表,而是建立「連線清單 → 補 DOMAIN-SUFFIX → 上移順序 → 重試 OpenClaw」的迴圈。這與單機 Clash Verge Rev 排錯邏輯相同,差別只在操作介面換成 LuCI 裡的 OpenClash。

在 OpenClash 裡寫多廠商網域規則

OpenClash 通常提供覆寫設定自訂規則Merge 設定檔等入口,讓你在不整份改寫訂閱 YAML 的前提下,插入幾行規則。以下片段為結構示意,請把 PROXY-AI替換為你設定檔中實際存在的策略組名稱(例如 🚀 手動選擇 或訂閱自带的 PROXY):

# Place ABOVE broad GEOIP / CN / DIRECT rule-sets
DOMAIN-SUFFIX,anthropic.com,PROXY-AI
DOMAIN-SUFFIX,claude.ai,PROXY-AI
DOMAIN-SUFFIX,openai.com,PROXY-AI
DOMAIN-SUFFIX,oaiusercontent.com,PROXY-AI
DOMAIN-SUFFIX,googleapis.com,PROXY-AI
DOMAIN-SUFFIX,generativelanguage.googleapis.com,PROXY-AI
DOMAIN-SUFFIX,ai.google.dev,PROXY-AI
# Add lines observed in OpenClash connection log when OpenClaw fails

實務上最常踩的坑是規則順序:許多訂閱自带的 RULE-SET 會把大型雲端 CDN 或「非大陸 IP 直連」整包處理掉,導致你的 AI API 請求在更前面就被判成 DIRECT。解法是把上面這類精確 DOMAIN-SUFFIX 往上移,而不是關掉整包 rule-set。

路由器上的 DNS 別忽略

OpenClash 若啟用 fake-ip 或 DNS 分流,解析結果會影響規則命中。若 OpenClaw 主機使用路由器下发的 DNS,而 OpenClash 的 DNS 設定與透明代理不一致,可能出現「規則寫對了但連到奇怪 IP」的現象。建議在調規則的同一階段,確認 OpenClaw 主機的 DNS 指向(通常為 OpenClash 路由器本機或你指定的 DoH 上游),並在卡關時暫時對單一 API hostname 做 nslookup 比對。

旁路由部署:讓 OpenClaw 主機流量經過 OpenClash

很多家庭採旁路由:光貓或原廠路由負責撥號與 Wi‑Fi,OpenWrt 小主机(如軟路由、R4S、H68K 等)跑 OpenClash,IP 例如 192.168.1.2,主路由仍是 192.168.1.1。要讓 OpenClaw 走 OpenClash,常見作法有兩種:

  1. 指定 OpenClaw 主機的預設閘道:在跑 OpenClaw 的 NAS 或 Linux 上,把 default gateway 設為旁路由 IP(192.168.1.2),DNS 也可指向旁路由。這樣該主機所有對外流量都會先經過 OpenClash 決策。
  2. 在主路由上做策略路由:若不能改 OpenClaw 主機設定,可在主路由對特定源 IP 做 policy routing,把流量導向旁路由——進階議題,但原理相同:確保決策點在 OpenClash

若 OpenClash 刷在主路由上且已啟用透明代理或 DNS 劫持,區網裝置通常無需額外設定;但仍請確認 OpenClaw 容器或 VM 沒有自行指定 DNS 繞過路由器,也沒有在容器內再套一層 VPN 造成雙重代理。

OpenClaw 主機還需要設 HTTP_PROXY 嗎?

若你已用透明代理閘道級分流讓 OpenClaw 主機的所有 TCP 連線都經 OpenClash 處理,理論上 OpenClaw 程序不必再填 HTTPS_PROXY。但在以下情況仍建議保留環境變數作為備援:

  • 旁路由只服務部分 VLAN,OpenClaw 偶爾會從未走旁路由的介面對外。
  • Docker 容器使用 host 網路模式以外的設定,對 iptables 透明代理不可見。
  • 你暫時關閉透明代理,只開 HTTP 代理連接埠(OpenClash 的 7890 等 mixed-port)。

此時可在 OpenClaw 的 systemd unit、docker-compose 或 .env 中加入:

HTTPS_PROXY=http://192.168.1.2:7890
HTTP_PROXY=http://192.168.1.2:7890
NO_PROXY=127.0.0.1,localhost,192.168.0.0/16,10.0.0.0/8

其中 IP 與埠號請依你的 OpenClash 介面為準;NO_PROXY 務必保留區網段,避免 OpenClaw 連本機 Redis、資料庫也被送去海外節點。

驗證:curl、OpenClash 連線清單與 OpenClaw 健康檢查

規則與閘道都設好後,建議依序驗證:

  1. OpenClaw 主機上(SSH 進 NAS 或 mini PC),對各上游做探測: 
    curl -sS -o /dev/null -w "%{http_code}\n" https://api.anthropic.com/v1/messages
curl -sS -o /dev/null -w "%{http_code}\n" https://api.openai.com/v1/models
curl -sS -o /dev/null -w "%{http_code}\n" \
  "https://generativelanguage.googleapis.com/v1beta/models"
    未帶 API Key 時回 401403 通常代表 TLS 與路由已通;若長時間無回應或連線被拒,才需要繼續查代理。
  2. 同時在 OpenClash LuCI 的連線清單過濾 anthropicopenaigoogleapis,確認策略欄不是 DIRECT
  3. 透過 OpenClaw 實際發一則測試訊息(Telegram bot 或 Web UI),觀察是否仍出現 upstream timeout;若單一廠商失敗,回到第二節補該廠商子網域。
小提示:OpenClaw 版本迭代可能新增工具呼叫或 webhook,連線清單會出現新的第三方 hostname。養成「失敗當下先截連線清單」的習慣,比一次抄完整網域表更能長期維護。

常見狀況排查

  • 只有某一個模型供應商逾時:幾乎一定是規則未覆蓋該廠商子網域,或策略組選到品質差的節點;先查 DIRECT,再換節點。
  • OpenClaw 重啟後才失效:檢查 Docker 是否未持久化環境變數,或 systemd 單元未載入 proxy 設定。
  • 區網其他裝置正常,只有 OpenClaw 主機異常:旁路由閘道是否被 DHCP 覆寫;NAS 固件更新後 gateway 被改回主路由。
  • 訂閱更新後規則失效:OpenClash 覆寫檔是否仍在 Merge 鏈中;有些更新會重置自訂片段,需重新確認插入順序。
  • 延遲低但串流仍斷:AI API 常為長連線 WebSocket 或 SSE;節點若對 UDP/長連線不友善,可換專線或不同協定節點測試。

常見問答

家裡只有 OpenClash,外出筆電怎麼辦?

路由器方案管的是區網。外出時請在筆電上使用 Clash Verge Rev、ClashX Pro 等本機用戶端,並沿用相同的多廠商網域規則概念;回家後可關本機代理,避免與 OpenClash 雙重包裝。

訂閱需要特別選「AI 友好」嗎?

沒有硬性標準,重點是節點對 HTTPS 長連線穩定、且 DNS 不嚴重污染。一般機場訂閱配合正確規則即可;若某節點對特定雲端 IP 路由不佳,用 OpenClash 策略組手動或自動換線比換訂閱更快。

OpenClaw 跑在 Docker 裡特別要注意什麼?

預設 bridge 網路下,透明代理有時看不到容器內流量。可改用 network_mode: host(若安全政策允許)、在容器內顯式設定 HTTPS_PROXY,或確保 OpenClash 的 Docker 閘道轉發規則已覆蓋該網橋。

寫給想把 OpenClaw 與代理做長期搭配的人

OpenClaw 這類自架 AI Agent的價值,在於把多通道、多模型整合成 7×24 可管的閘道;但若上游 API 連線靠運氣,體驗會迅速崩壞。OpenClash 在路由器層做多廠商網域規則,能讓 NAS 上的 OpenClaw、家裡的開發機、甚至手機上的測試 App 共用同一套出口——這是單台 PC 只開 Clash Verge Rev 難以優雅擴展的部分。

反過來說,Clash 桌面用戶端在規則除錯、連線紀錄可讀性、外出網路上仍不可替代。較理想的工作流是:在家以 OpenClash 統一分流 OpenClaw 與區網流量;在外以 Clash Verge Rev 等本機用戶端沿用同一套 DOMAIN-SUFFIX 邏輯。Clash 系工具共享 Mihomo/Clash.Meta 規則語法,你在路由器上調好的 AI API 規則,可以幾乎原樣搬到桌機設定檔,減少重複學習成本。

若你希望找一款多平台、更新節奏清楚的 Clash 系用戶端,作為 OpenClash 以外的本機備援,不妨到本站下載頁瀏覽 Windows、macOS 與行動裝置適用版本,把「路由器統一出口」與「個人裝置靈活代理」串成一條可維護的鏈路。

立即免費下載 Clash,開啟更順手的多平台代理體驗 →