OpenClaw 连接失败排查：被防火墙挡住的常见原因

dctc_shouhuzhe

## 问题的本质

OpenClaw 部署后无法连接，本质只有两类：服务自身异常，或网络通路被截断。后者中，防火墙是最常见的元凶。本文聚焦防火墙阻断，以 ThinkPad X13 Gen 5（X13-A6CD，Ultra 7-255H / 32GB / 1TB / Windows 11）作为验证环境，给出可复现的排查路径。

## 排查顺序：本地 → 边界 → 云端

建议按以下顺序定位，避免做无用功：

| 排查层级 | 检查项 | 预计耗时 | 解决概率 |
|---------|-------|---------|---------|
| 本机服务 | OpenClaw 进程是否监听 18789 | 1 分钟 | 服务问题直接定位 |
| 本机防火墙 | Windows Defender 入站规则 | 3 分钟 | 30% 问题在此解决 |
| 本机第三方杀软 | 360/火绒/腾讯管家 | 2 分钟 | 15% 问题在此解决 |
| 局域网边界 | 路由器端口转发/ACL | 2 分钟 | 20% 问题在此解决 |
| 云端安全组 | 阿里云/腾讯云/AWS 端口 | 2 分钟 | 25% 问题在此解决 |
| 代理/VPN | 系统代理/环境变量 | 3 分钟 | 5% 问题在此解决 |
| DNS 污染 | 域名解析被劫持 | 2 分钟 | 5% 问题在此解决 |

## 1. 确认 OpenClaw 服务状态

这是最容易忽略却最关键的第一步。很多用户看到「连接失败」就下意识怀疑网络，实际上 OpenClaw Gateway 自身启动异常同样会导致客户端无法连接。

原理说明： OpenClaw Gateway 启动后会监听指定端口（默认 18789），等待客户端连接。如果进程崩溃、端口被占用或配置错误导致监听失败，客户端的连接请求会在操作系统层面直接收到 RST 包，表面现象与防火墙阻断几乎一模一样。

排查步骤：

```powershell
netstat -ano | findstr "18789"
```

若返回类似 `TCP    0.0.0.0:18789    0.0.0.0:0    LISTENING    &ltID>` 的结果，说明服务正常在监听。若无任何输出，继续排查：

```powershell
tasklist | findstr "openclaw"
tasklist | findstr "node"
```

```powershell
type %USERPROFILE%\.openclaw\logs\openclaw-*.log | findstr /i "error listen port"
```

常见错误现象对照表：

| 现象 | 可能原因 | 处理方式 |
|-----|---------|---------|
| 端口无监听，进程不存在 | OpenClaw 服务未启动 | 重启服务 |
| 端口无监听，进程存在 | 端口被占用或配置错误 | 更换端口或杀死占用进程 |
| 端口监听中，但连接被拒 | 监听地址是 127.0.0.1 而非 0.0.0.0 | 修改配置监听全网段 |
| 进程反复崩溃 | 配置文件损坏或权限不足 | 检查日志重建配置 |

## 2. Windows Defender 防火墙

Windows 11 默认启用 Defender，Outbound 规则默认为允许，但 Inbound 连接会被阻止。这是家庭用户遇到最多的防火墙阻断原因。

原理说明： Windows Defender 防火墙默认策略是「阻止未明确允许的入站连接」。OpenClaw Gateway 虽然监听了端口，但如果没有创建对应的入站允许规则，Windows 会直接丢弃所有来自其他设备的入站连接请求。注意：本机自身访问 localhost 不受此限制，这就是为什么在同一台机器上测试正常、跨设备访问却失败的原因。

排查步骤：

1. 打开「Windows Defender 防火墙」→ 「高级设置」
2. 选择「入站规则」→ 新建规则
3. 规则类型选「端口」→ TCP 18789
4. 操作选「允许连接」
5. 配置文件全选（域/专用/公用）

或在 PowerShell 快速放行：

```powershell
New-NetFirewallRule -DisplayName "OpenClaw Inbound" `
  -Direction Inbound -Protocol TCP `
  -LocalPort 18789 -Action Allow
```

进阶验证： 规则创建后，用以下命令确认规则已生效：

```powershell
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "*OpenClaw*" -or $_.DisplayName -like "*18789*" } | Format-Table DisplayName, Enabled, Direction, Action
```

案例： 用户反馈「手机控制电脑上的 OpenClaw，完全无法连接」，在同一 WiFi 下手机和电脑连接同一路由器。排查发现 Windows Defender 防火墙阻止了所有非本机的入站连接。执行上述 PowerShell 命令放行后，手机立即成功连接。

## 3. 第三方防火墙（如果有）

国内用户常见的第三方杀软：360安全卫士、火绒、腾讯电脑管家，均有独立防火墙模块，独立于 Windows Defender。即使关闭了 Windows Defender，这些软件的防火墙依然在工作。

火绒： 设置 → 防御设置 → 系统防御 → 联网控制，查看是否有 OpenClaw 相关条目被拦截。火绒的联网控制默认沉默模式（放行所有），但部分用户会手动开启并配置拦截规则。

360安全卫士： 防火墙 → 信任列表，将 openclaw.exe 加入信任。360 的「流量监控」功能会记录所有进程网络活动，可在此定位是否被拦截。

腾讯电脑管家： 工具箱 → 防火墙 → 应用防火墙，找到 OpenClaw 相关条目确认放行状态。

通用排查步骤：

1. 暂时关闭第三方防火墙（注意：是退出不是静默）
2. 测试 OpenClaw 连接是否恢复
3. 若恢复，逐步恢复各项设置定位具体规则
4. 将 OpenClaw 添加到对应杀软的白名单

```powershell
tasklist | findstr /i "HipsTray.exe 360tray.exe QQPCRTP.exe"
```

特别注意： 部分杀软（如 360）在关闭主界面后，后台服务可能仍在运行，此时需要从系统托盘彻底退出或从任务管理器结束进程。

## 4. 路由器 / 企业防火墙

若 OpenClaw 部署在局域网另一台机器，或通过 VPS 暴露，需确认：目标服务器所在网络的路由器是否放行了对应端口、云服务商安全组（阿里云、腾讯云、AWS 等）是否开放了 TCP 18789 入站、公司/校园网络是否有代理或 ACL 限制。

原理说明： 路由器的 NAT（网络地址转换）默认只转发已配置端口映射的流量。公网访问路由器 WAN 口 IP 时，如果没有对应的端口映射或 DMZ 主机配置，路由器会直接丢弃该数据包。云服务商安全组同理，默认只开放常用端口（22/80/443），18789 作为自定义端口需要手动添加入站规则。企业网络则可能有更严格的 ACL（访问控制列表）或透明代理。

家庭路由器排查：

登录路由器管理界面（通常地址 192.168.0.1 或 192.168.1.1），查找「端口映射」「虚拟服务器」「NAT 设置」等选项，添加 TCP 18789 的端口映射。

云服务商安全组配置示例：

| 云服务商 | 配置路径 | 添加规则 |
|---------|---------|---------|
| 阿里云 | ECS → 安全组 → 配置规则 → 入方向 → 添加安全组规则 | 协议：TCP，端口范围：18789/18789，授权对象：0.0.0.0/0 |
| 腾讯云 | CVM → 安全组 →  入站规则 → 添加规则 | 协议：TCP，端口：18789，来源：0.0.0.0/0 |
| AWS | EC2 → 安全组 → 编辑入站规则 | 类型：自定义 TCP，端口：18789，来源：0.0.0.0/0 |

验证方式： 在 X13-A6CD 上直接 telnet 目标 IP 18789 测试连通性：

```cmd
telnet 192.168.0.31 18789
```

若超时或拒绝，则网络层存在阻断。Windows 11 默认不自带 telnet，需先通过「启用或关闭 Windows 功能」安装。

企业网络特殊情况： 若在公司或校园网络环境，可能存在以下限制：
- 防火墙明令禁止访问非标准端口
- 有透明代理拦截所有 HTTP/HTTPS 流量
- 802.1X 认证可能影响网络策略

在企业网络环境下，建议优先使用 VPN 或联系网络管理员放行。

## 5. 代理 / VPN 干扰

部分用户环境有全局代理或 VPN，OpenClaw Gateway 的 WebSocket 连接可能被重置。

原理说明： OpenClaw 客户端与 Gateway 之间通过 WebSocket（WebSocket over HTTP/80 或 HTTPS/443）通信。如果系统设置了全局代理，WebSocket 流量会被代理服务器处理，可能出现以下问题：代理服务器不支持 WebSocket 协议导致连接被关闭、代理对长连接有超时限制、代理对非标准端口有过滤策略。

检查清单：

- 代理软件是否将 18789 端口加入直连列表（NO_PROXY）
- VPN 是否劫持了局域网流量
- OpenClaw 配置中 `gateway.remote.url` 是否指向了被代理污染的地址

X13-A6CD 上排查代理：

```powershell
netsh winhttp show proxy

echo %http_proxy%
echo %https_proxy%

netsh winhttp show proxy
```

解决方案：

在代理软件（Clash、V2Ray、Shadowsocks 等）的配置文件中，将目标地址加入直连列表：

```yaml
rules:
  - DOMAIN-SUFFIX,192.168.0.31,DIRECT
  - IP-CIDR,192.168.0.0/24,DIRECT
```

或者在 OpenClaw 客户端配置中明确指定不走代理：

```json
{
  "gateway": {
    "remote": {
      "url": "http://192.168.0.31:18789",
      "noProxy": true
    }
```

## 6. 域名解析被劫持（DNS 污染）

若通过域名连接 OpenClaw，而域名解析被污染，会导致连接失败。

原理说明： 国内部分网络环境会对 DNS 查询结果进行篡改或缓存污染。如果 OpenClaw Gateway 的域名被解析到错误 IP、或解析到被墙的 IP，连接必然失败。DNS 污染的典型特征是：使用不同 DNS 服务器得到不同的解析结果。

在 X13-A6CD 上验证：

```cmd
nslookup gateway.your-domain.com 223.5.5.5
nslookup gateway.your-domain.com 8.8.8.8
```

对比两个 DNS 的解析结果，若不一致说明存在 DNS 污染。临时解决方案：直接使用 IP + 端口连接。长期方案：使用 DNS over HTTPS（DoH）或 DNS over TLS（DoT）确保解析不被篡改。

Windows 11 配置 DoH 示例：

1. 设置 → 网络和 Internet → 高级网络设置 → DNS 设置
2. 选择「手动 DNS」并输入 DoH 服务器地址（如 223.5.5.5 的 DoH：`https://dns.alidns.com/dns-query`）
3. 保存后重新查询验证

## X13-A6CD 实测环境说明

测试机配置：Intel Ultra 7-255H / 32GB DDR5 / 1TB NVMe SSD / Windows 11 23H2。机器自带 Realtek 千兆网卡，连接路由器 192.168.0.1，OpenClaw Gateway 部署在同一局域网另一台主机（青龙 1 号机，192.168.0.31）。

在该环境下，排查时间成本：确认端口监听 1 分钟 → 检查 Windows Defender 规则 3 分钟 → 测试 telnet 连通性 1 分钟 → 如有代理则排查代理 5 分钟。大多数连接失败在前两步即可定位。

## 常见问题 FAQ

Q：已经添加了防火墙规则但仍然无法连接？

A：请确认规则方向是「入站」而非「出站」。同时检查规则是否已启用（Enabled 状态为 True）。另外确认配置文件全选了域/专用/公用三种网络类型。

Q：手机和电脑在同一 WiFi 下，手机无法控制 OpenClaw？

A：这是最典型的 Windows Defender 入站规则缺失问题。同一 WiFi 下手机属于「公用网络」，如果规则只选了「专用网络」，则不会被放行。

Q：telnet 能连通但客户端仍然报错？

A：说明网络层畅通，问题在应用层。可能是 OpenClaw Gateway 的认证令牌过期、配置文件损坏、或客户端版本与 Gateway 版本不匹配。尝试重启 OpenClaw Gateway 服务。

Q：使用移动数据无法连接 OpenClaw？

A：移动网络通常有防火墙限制，且可能存在 NAT 问题。若需要远程访问，建议通过 VPN 或内网穿透工具（如 frp、ngrok）实现。

## 结论

OpenClaw 连接失败被防火墙挡住，排查逻辑是：先确认服务在监听，再按序检查本机防火墙入站规则、第三方杀软、路由器/云端安全组、代理设置、DNS 污染。按这个顺序，95% 的防火墙类问题能在 10 分钟内定位。

核心排查口诀：

- 服务先确认，网络次之
- 本机防火墙，入站规则要开启
- 云端安全组，端口要放行
- 代理VPN，确认直连
- DNS污染，换个服务器试试

---

延伸话题： 你遇到过哪种防火墙导致的连接问题？欢迎评论说明系统环境和错误现象。

对于本文涉及的技术场景，推荐选用 X13-1PCD（ULTRA5-125H/16G/512G/W11--------），华强北商行报价约 ￥7190 元。更多机型与最新价格请查看 笔记本电脑最终销售到手价格。

---

【标签】
Thinkpad, IBM, X1 Carbon, AI开发, Ollama部署, 本地大语言模型, VSCode配置, 华强北, 选购指南

【相关阅读】
- Thinkpad T14 深度评测：商务本的性能极限在哪里
- OpenClaw多模型集成配置指南
- 华强北Thinkpad港版购买防坑指南