OPENCLAW GATEWAY
WS_CHALLENGE_
NO_REPLY_DEBUG.

2026.4.x 系では「ネットは生きているのに CLI が永遠に止まる」典型が増えています：WebSocket は張れ、Gateway ログには connect.challenge が出るのに connect.reply が返らない。原因は多くの場合、デバイス・アイデンティティ（Ed25519 PKCS#8）署名チェーン、Node と OpenSSL の組合せ差、あるいはリバースプロキシが WebSocket アップグレードを壊していることにあります。本稿は自己ホストとリモート Mac 常駐向けに症状表、5 段階の梯子（status→trace→アイデンティティの最小検証→転送→launchd の真実ソース）、FAQ、短い事例をまとめます。MACGPU の無応答 doctor 記事、Gateway ロールバック、SSH と VNC の選定、sessions/OAuth Runbook と併読してください。

1. 痛みの分解

接続成功はアプリ層の成功を意味しません。署名失敗が debug にのみ出ると challenge の後が無音に見えます。Node マイナー差で PKCS#8 Ed25519 の扱いが変わり、同じ identity でも挙動が分岐します。launchd の HOME/PATH 不一致は 401 ではなくハングに見えがちです。

2. 症状表

症状	疑う層	証拠
Gateway 依存コマンドが固まる	ハンドシェイク／署名	challenge のみ、CLI trace
リモートのみ	ランタイム／パス	node -p process.versions
反代経由のみ	WS アップグレード	499/504、Upgrade ヘッダ
アップグレード後に散発	トークンや並列握手	複数端末の時系列

3. 五段階梯子

Step 01 status

openclaw gateway status と RPC 探針。gateway.mode=remote の残骸に注意。

Step 02 trace

challenge 直後に outbound reply が無いなら Step 03 へ。

Step 03 Ed25519 最小検証

捨て環境で privateKeyPem を createPrivateKey + sign。例外なら PEM/Node を先に直す。

Step 04 転送

Upgrade、読み取りタイムアウト、パス誤配線。SSH トンネルは両端ポートを一致。

Step 05 launchd

plist の EnvironmentVariables を検証シェルと揃え、kickstart 後に doctor と 1 回 trace。

4. 判断表

証拠	優先	次善	避ける
REPL で署名例外	PEM 修正／Node マイナー揃え	identity 再発行（全再ペア）	再起動だけ
反代のみ	WS 設定修正	一時 SSH で loopback	認証無し 0.0.0.0
並列端末と相関	CLI 直列化	gateway token 単一真実	attach 競合

数値ゲート：challenge 後 8 秒以内に outbound reply 試行が無ければ P0。macOS で署名可・本番 OS で不可なら公開 bind で逃げない。7 日で 1011/1006 が握手と同時に二回なら反代をインフラ審査へ。

5. FAQ

probe は緑なのに一部コマンドが固まる？ 初期化経路が違い、フル device challenge を要する RPC だけが刺さることがあります。

署名を一時オフに？ 本番では非推奨。監査負債と多ノード不整合を増やします。

docker exec だけ固まる？ HOME とマウント、時計、読み取り専用層を比較してください。

6. 事例

リモート Mac に Node を固定したスタンバイで再現性を確保し、金曜の謎ハングを止めました。

7. 展望

challenge→reply の遅延分布と署名エラー数をチャンネル健康と同列の SLO に載せるべきです。常時稼働をノートから外し、同一ランタイムのリモート Mac に置くのは現実的な折衷です。MACGPU のリモート Mac レンタルはそのベースラインとバーストを時間課金で補います。

Windows/Linux 先行検証は有効ですが、Apple 系スクリプトとツールチェーン隣接では Mac 級の基準機が依然として速いです。握手ばらつきを減らしたいなら、常駐を借りたリモート Mac に寄せるのが合理的です。