2026 OpenClaw Chrome Relay & Browser-Werkzeugkette: Health-Checks auf Port 18792, Schicht-Triage & SSH-Tunnel zum Remote-Mac

Ein wiederkehrendes Muster 2026: Telegram, Webhooks und Control UI bleiben grün, während Chrome Relay und Browser-Tools rot sind. Ursache ist selten ein totes Gateway, sondern ein lokaler Relay-HTTP-Dienst (häufig Port 18792 in Beispielen), der nicht läuft, abstürzt oder kollidiert, oder eine Extension ohne Tab-Attach. Läuft Gateway auf einem headless Remote-Mac, muss vom Laptop aus zuerst ein SSH-LocalForward aufgebaut werden, bevor curl 127.0.0.1:18792 sinnvoll ist. Dieser Leitfaden liefert eine Symptom→Schicht→Beweis-Matrix, ein fünfstufiges Runbook und eine saubere Trennung von stummen Kanälen, damit keine Token-Rotation oder WebSocket-Jagd ohne Evidenz startet. Querverweise: Gateway-Token & LaunchAgent, WebSocket-Handshake, SSH vs. VNC.

1. Schmerz: Relay ist Sidecar

Ohne Health-Monitoring für Relay stirbt der Prozess leise, während Kanalchecks grün bleiben. Doppelbelegung von Telegram-Tokens und doppelte Listener auf 18792 sind verschiedene Problemklassen. Für Teams mit DSGVO-Fokus ist ein dedizierter macOS-Benutzer oder Remote-Knoten mit festem Profil oft auditierbarer als geteilte Entwickler-Laptops.

2. Matrix

Signal	Schicht	Beweis
connection refused	Relay	curl -v nach Tunnel
200, Timeout	Extension/Tab	attach-Logs
nur Remote	Bind/SSH	Firewall, 127.0.0.1

3. Fünf Schritte

Port und Version einfrieren; Health per curl; genau einen Listener; ssh -N -L 18792:127.0.0.1:18792 user@host; openclaw logs zuerst relay/chrome filtern.

Jeder Schritt soll im Ticket mit Zeitstempel, vollständiger Befehlszeile und HTTP-Status dokumentiert werden. Bei verteilten Teams verhindert eine einzeilige Notiz „Health auf Remote ausgeführt“ die häufigste Fehlinterpretation von Loopback. Für wiederkehrende Eskalationen empfiehlt sich ein kurzes ASCII-Sequenzdiagramm Laptop→SSH→Remote-Loopback.

Wenn Relay unter launchd oder systemd läuft, prüfen Sie Restart-Policies: zu aggressive Restart=always-Schleifen erzeugen Log-Sturm ohne Root-Cause. Backoff und harte Retry-Limits stabilisieren den Betrieb.

curl -sS -o /dev/null -w "%{http_code}\n" http://127.0.0.1:18792/health

4. Fall

„Drei Stunden WebSocket-Debug—ohne SSH-Tunnel war der Laptop-Loopback leer.“

Nach Dokumentation des Tunnels und klarer Angabe, welcher Host den Health-Check ausführt, verschwand die Störserie. Postmortems sollten Host, Forward und Chrome-Profilpfad als Pflichtfelder enthalten.

5. Fern-Mac und MACGPU

Für stabile Browser-Automatisierung ohne Schlafmodus-Rauschen auf Notebooks lohnt sich ein gemieteter Apple-Silicon-Mac mit fixiertem Gateway+Relay-Image—MACGPU bietet entsprechende Remote-Knoten für reproduzierbare Akzeptanztests nach diesem Runbook.

SRE-Teams sollten Relay- und Kanal-SLA getrennt tracken. Ohne diese Trennung wiederholt sich das Muster „alles grün im Dashboard, Skills trotzdem rot“. Log-Pipelines sollten relay/chrome-Tags vor breiten WebSocket-Traces erzwingen, sonst geht das Signal im Rauschen unter.

Gemeinsame Entwickler-Laptops vermischen Chrome-Profile; ein dedizierter Remote-Mac entfernt Mehrdeutigkeit und verkürzt Regressionstests nach OpenClaw-Minor-Releases.

CI-Pipelines sollten nach jedem Skill-Deploy mit DOM-Bezug einen Health-Check ausführen, nicht nur nach Major-Upgrades. Postmortems ohne Notiz zu erstem curl-Host und LocalForward bleiben schlecht durchsuchbar.

6. Schwellen & FAQ

p95 Health >2.5× Baseline friert Skill-Releases; ≥2× EADDRINUSE/Woche löst Konfig-Audit aus; >40% Relay-Anteil in Logs → separates Monitoring. Port 18792 ist illustrativ; 0.0.0.0 nur nach Risikoabwägung, produktiv eher SSH/Tailscale.