OPENCLAW GATEWAY
WS_CHALLENGE_
NO_REPLY_DEBUG.
In 2026.4.x sehen Teams häufig hängende CLI-Befehle, obwohl der WebSocket steht und connect.challenge im Gateway-Log erscheint, connect.reply aber nie kommt. Typische Ursachen: Ed25519-PKCS#8-Signaturpfad, Node/OpenSSL-Skew oder Reverse-Proxy, der WebSocket-Upgrades bricht. Dieser Artikel liefert eine Symptomtabelle, eine Fünf-Schrittleiter, FAQ und ein kurzes Fallbeispiel — ergänzend zu MACGPU-Artikeln über doctor, Gateway-Rollback, SSH/VNC und OAuth/sessions.
1. Schmerz
TCP-Erfolg ersetzt keine Anwendungshandshake-Signatur. Fehler nur auf Debug-Level wirken wie stilles Hängen nach challenge. Unterschiedliche Node-Minor-Versionen verändern PEM-Strenge. launchd-Umgebungen ohne konsistentes HOME täuschen sporadische Hänger vor.
2. Matrix
| Symptom | Schicht | Beleg |
|---|---|---|
| Gateway-Befehle frieren | Handshake/Signatur | nur challenge, CLI-trace |
| nur remote | Runtime/Pfad | node -p process.versions |
| nur hinter Proxy | WS-Upgrade | 499/504, Upgrade-Header |
| nach Upgrade sporadisch | Token/Parallelität | Zeitleiste mehrerer Terminals |
3. Fünf Schritte
01 status
openclaw gateway status, RPC-Probe, Reste von gateway.mode=remote.
02 trace
Outbound reply nach challenge prüfen.
03 Ed25519 Mini-Test
Wegwerf-REPL mit privateKeyPem.
04 Transport
Upgrade, Timeouts, Pfade.
05 launchd
EnvironmentVariables angleichen, kickstart, doctor.
4. Entscheidung
| Beleg | Primär | Sekundär | Vermeiden |
|---|---|---|---|
| REPL sign wirft | PEM/Node angleichen | Identity neu mit Re-Pairing | nur restart |
| nur Proxy | WS fixen | SSH-Tunnel zu loopback | 0.0.0.0 ohne Auth |
| Parallel-Terminals | CLI serialisieren | Token Single Source | racing attach |
Schwellen: >8s ohne outbound reply → P0. Signatur auf macOS ok, auf Ziel-OS nicht → kein öffentliches bind als Workaround.
5. FAQ
Probe grün, einzelne Befehle hängen? Andere Init-Pfade. Signatur abschalten? Produktiv nicht empfohlen. Nur docker exec? HOME/Uhr/RO prüfen.
6. Fall
Windows SYSTEM + Node 24 verschärfte PKCS#8-Ed25519; LTS-Minor angleichen brachte connect.reply zurück.
7. Ausblick
Messen Sie challenge→reply wie Kanal-SLOs. Dauerhafte Gateways gehören oft auf reproduzierbare Mac-Baseline-Knoten; MACGPU Remote-Mac stündlich unterstützt das mit DSGVO-bewusster Dokumentation von Images und Schlüsselrotation.