#Openclaw dont boot

Restarted systemd service: openclaw-gateway.service
│
◇
Health check failed: gateway remote mode misconfigured: gateway.remote.url missing Config: /home/hanz/.openclaw/openclaw.json Fix: set gateway.remote.url, or set gateway.mode=local.
Run "openclaw doctor --fix" to apply changes.
│
└ Doctor complete.

hanz@hanz:~$ openclaw tui

🦞 OpenClaw 2026.3.13 (61d171a) — Say "stop" and I'll stop—say "ship" and we'll both learn a lesson.

│
◇ Doctor warnings ──────────────────────────────────────────────────────────────────────────╮
│ │
│ - channels.telegram.groupPolicy is "allowlist" but groupAllowFrom (and allowFrom) is │
│ empty — all group messages will be silently dropped. Add sender IDs to │
│ channels.telegram.groupAllowFrom or channels.telegram.allowFrom, or set groupPolicy to │
│ "open". │
│ │
├────────────────────────────────────────────────────────────────────────────────────────────╯
Error: Missing gateway auth credentials.
Fix: set OPENCLAW_GATEWAY_TOKEN/OPENCLAW_GATEWAY_PASSWORD, pass --token/--password,
or resolve the configured secret provider for this credential.
hanz@hanz:~$

You’ve basically got two separate problems in that output:

1) Remote mode is enabled but gateway.remote.url is missing

Doctor is telling you your CLI is trying to run in remote gateway mode:

gateway remote mode misconfigured: gateway.remote.url missing

So first decide which of these you want:

A) Gateway + TUI on the same machine (most common)

Set local mode:

openclaw config set gateway.mode "local"
openclaw gateway restart

B) CLI/TUI connects to a Gateway on another host (SSH tunnel / tailnet)

Keep remote mode, but set the remote WS URL (often via SSH tunnel, so it’s still 127.0.0.1 locally):

openclaw config set gateway.mode "remote"
openclaw config set gateway.remote.url "ws://127.0.0.1:18789"
openclaw gateway restart   # restart only needed if you changed server-side gateway.* fields

Docs: https://docs.openclaw.ai/gateway/remote

2) Your TUI has no gateway auth credentials (token/password)

This error is the client side (your openclaw tui) saying it can’t find a token/password to authenticate:

Error: Missing gateway auth credentials.

The quickest fix is: set a token and use it consistently.

Option 1 (recommended): put it in config

openclaw config set gateway.auth.token "put-a-long-random-string-here"
openclaw gateway restart
openclaw tui --token "put-a-long-random-string-here"

Option 2: env var

export OPENCLAW_GATEWAY_TOKEN="..."
openclaw tui

(If you run with --url ..., the CLI won’t “reuse” implicit creds — you must also pass --token / --password explicitly.)

If you want, paste these 4 outputs and I’ll tell you exactly which branch you’re on

openclaw config file
openclaw config get gateway.mode
openclaw config get gateway.remote
openclaw config get gateway.auth

(That Telegram allowlist warning isn’t a boot blocker, it just means all Telegram group messages will be dropped until you add groupAllowFrom/allowFrom or switch groupPolicy to "open".)

Service runtime: status=running, state=active, pid=5473, lastExit=0
Gateway port 18789 status: free.
Gateway restart timed out after 60s waiting for health checks.

That last line is the big clue:

“Gateway restart timed out … waiting for health checks”
while also saying gateway remote mode misconfigured: gateway.remote.url missing + missing gateway auth credentials

In practice this usually means: the Gateway service might be up, but the CLI can’t complete its health probe because your CLI is currently configured for remote mode without a URL, and it doesn’t have a token/password to authenticate. So the restart command sits there waiting and eventually times out.

Do the exact thing Doctor told you to do

On the gateway host as the same user that owns /home/hanz/.openclaw/openclaw.json:

openclaw doctor --fix

Accept the suggested repair (it should set you to local mode unless you actually intended remote), and if it offers to generate a gateway token, say yes.

Then:

openclaw gateway restart
openclaw gateway status
openclaw tui

If you intended remote mode (SSH tunnel / tailnet)

Then you must set the missing URL + token:

openclaw config set gateway.mode "remote"
openclaw config set gateway.remote.url "ws://127.0.0.1:18789"
# and set gateway.remote.token (or export OPENCLAW_GATEWAY_TOKEN)

Docs: https://docs.openclaw.ai/gateway/remote

If openclaw doctor --fix doesn’t resolve it, paste these 3 outputs and I’ll pinpoint what’s mismatched:

openclaw config get gateway.mode
openclaw config get gateway.remote
openclaw config get gateway.auth

das ganteway timeouts immer noch

Ja – mit genau der Config ist der Timeout leider “expected”, weil zwei Dinge gleichzeitig kaputt sind:

1. Du bist in gateway.mode=remote, aber gateway.remote.url fehlt → CLI weiß nicht wohin es für Healthchecks verbinden soll.
2. Du hast gar keine Gateway-Creds (Token/Password) gesetzt → openclaw tui bricht ab, bevor es überhaupt verbinden kann.

Schnellster Fix (wenn Gateway + CLI auf demselben Host laufen sollen)

openclaw config set gateway.mode "local"
openclaw doctor --fix
openclaw gateway restart

Danach brauchst du noch einen Token (nicht hier posten!):

• Entweder setzt du ihn in der Config (empfohlen) und nutzt ihn dann fürs TUI:

openclaw config set gateway.auth.token "DEIN-LANGER-RANDOM-TOKEN"
openclaw gateway restart
openclaw tui --token "DEIN-LANGER-RANDOM-TOKEN"

• Oder per Env:

export OPENCLAW_GATEWAY_TOKEN="DEIN-LANGER-RANDOM-TOKEN"
openclaw tui

Wenn du wirklich Remote willst (SSH-Tunnel/Tailnet)

Dann musst du mindestens setzen:

• gateway.remote.url (z.B. ws://127.0.0.1:18789 bei SSH-Tunnel)
• und gateway.remote.token oder OPENCLAW_GATEWAY_TOKEN

Docs: https://docs.openclaw.ai/gateway/remote

Wenn du magst: poste (bitte Token redacted) die Ausgaben von

openclaw config get gateway.mode
openclaw config get gateway.remote
openclaw config get gateway.auth

Dann sag ich dir exakt, welche der beiden Modi bei dir gerade aktiv ist und warum es noch timeoutet.

openclaw tui - wss://127.0.0.1:18789 - agent main - session main

not connected to gateway — message not sent

not connected to gateway — message not sent
disconnected | disconnected
agent main | session main | unknown | tokens ?
──────────────────────────────────────────────────────

Das neue Screenshot aus dem TUI hilft: du versuchst gerade auf

wss://127.0.0.1:18789

zu connecten und bist disconnected.

1) wss:// ist sehr wahrscheinlich falsch

Standardmäßig läuft der Gateway lokal ohne TLS → das ist ws://, nicht wss://.

Probier (auf dem Gateway-Host):

openclaw tui --url ws://127.0.0.1:18789

(Nur wenn du TLS wirklich explizit konfiguriert hast, wäre wss:// korrekt.)

2) Du musst einen Gateway-Token/Passwort mitgeben (sonst verbindet er nicht)

Deine Fehlermeldung sagt ja schon:

Missing gateway auth credentials (set OPENCLAW_GATEWAY_TOKEN / pass --token)

Minimaler Test:

export OPENCLAW_GATEWAY_TOKEN="DEIN_TOKEN"   # nicht posten
openclaw tui --url ws://127.0.0.1:18789

oder explizit:

openclaw tui --url ws://127.0.0.1:18789 --token "DEIN_TOKEN"

3) Und fix bitte den Remote-Mode-Quatsch, sonst laufen Healthchecks immer ins Leere

Du hast weiterhin:

gateway.mode=remote aber gateway.remote.url fehlt

Wenn du lokal auf derselben Maschine bist:

openclaw config set gateway.mode "local"
openclaw doctor --fix
openclaw gateway restart

Wenn du danach immer noch “disconnected” siehst, brauch ich als nächstes (ohne Secrets):

openclaw gateway status
openclaw logs --follow

(bei config get gateway.auth / gateway.remote bitte Token/Password redacted, falls das mit ausgegeben wird).

anz@hanz:~$ openclaw tui --url ws://127.0.0.1:18789

🦞 OpenClaw 2026.3.13 (61d171a) — I read logs so you can keep pretending you don't have to.

│
◇ Doctor warnings ──────────────────────────────────────────────────────────────────────────╮
│ │
│ - channels.telegram.groupPolicy is "allowlist" but groupAllowFrom (and allowFrom) is │
│ empty — all group messages will be silently dropped. Add sender IDs to │
│ channels.telegram.groupAllowFrom or channels.telegram.allowFrom, or set groupPolicy to │
│ "open". │
│ │
├────────────────────────────────────────────────────────────────────────────────────────────╯
Error: gateway url override requires explicit credentials
Fix: pass --token or --password when using --url.
hanz@hanz:~$

Perfekt — jetzt ist die Fehlermeldung endlich eindeutig:

gateway url override requires explicit credentials
→ sobald du --url verwendest, musst du im selben Command auch --token oder --password mitgeben. Env/Config-Creds werden dabei absichtlich nicht automatisch reused.

Fix (lokal, simplest)

1. Remote-Mode-Fehler loswerden (damit du gar kein --url brauchst):

openclaw doctor --fix

(Doctor sollte dir anbieten gateway.mode=local zu setzen und ggf. einen Token zu generieren.)

2. Dann:

openclaw gateway restart
openclaw tui

Wenn du --url weiter benutzen willst

Dann so (Token nicht posten):

openclaw tui --url ws://127.0.0.1:18789 --token "DEIN_TOKEN"

oder mit Env-Var (aber trotzdem explizit übergeben):

export OPENCLAW_GATEWAY_TOKEN="DEIN_TOKEN"
openclaw tui --url ws://127.0.0.1:18789 --token "$OPENCLAW_GATEWAY_TOKEN"

Wenn du mir sagst ob du lokal (gleicher Host) oder wirklich remote (SSH/Tailscale) willst, sag ich dir die “saubere” config-Variante (ohne --url/ohne Überraschungen).

hat nicht geklappt wie setzte ich es zurück das es nur über tui läuft

not connected to gateway — message not sent
gateway disconnected: closed | idle
agent main | session main | unknown | tokens ?

Du kannst das komplett “zurück auf lokal + nur TUI” drehen — aber wichtig vorweg:

openclaw tui ist nur ein Client/UI. Damit TUI funktioniert, muss ein Gateway laufen (entweder als systemd-service oder im Foreground via openclaw gateway run).

Variante A (empfohlen): systemd-Service behalten, aber auf “lokal only” resetten

Damit brauchst du auch kein --url/Remote-Kram mehr.

openclaw config set gateway.mode "local"
openclaw config unset gateway.remote
openclaw config set gateway.bind "loopback"

Wenn du wirklich ohne Token arbeiten willst (nur sicher bei loopback!):

openclaw config set gateway.auth.mode "none"

Dann:

openclaw gateway restart
openclaw tui

Damit sollten auch die beiden nervigen Errors weg sein:

• remote mode misconfigured
• missing gateway auth credentials

Variante B: keinen Service mehr, alles “nur im Terminal”

1. Service weg:

openclaw gateway stop
openclaw gateway uninstall

2. Gateway im Foreground starten (Terminal 1):

openclaw gateway run

3. TUI starten (Terminal 2):

openclaw tui

(Wenn du gateway.auth.mode="none" gesetzt hast und bind="loopback" ist, brauchst du dabei keinen Token.)

Wenn du mir kurz sagst, welche Variante du willst (A = Service behalten, B = nur manuell im Terminal), sag ich dir die exakt minimalen Commands in der richtigen Reihenfolge für deinen Fall.

hanz@hanz:~$ openclaw gateway run

🦞 OpenClaw 2026.3.13 (61d171a) — Claws out, commit in—let's ship something mildly responsible.

│
◇ Doctor warnings ──────────────────────────────────────────────────────────────────────────╮
│ │
│ - channels.telegram.groupPolicy is "allowlist" but groupAllowFrom (and allowFrom) is │
│ empty — all group messages will be silently dropped. Add sender IDs to │
│ channels.telegram.groupAllowFrom or channels.telegram.allowFrom, or set groupPolicy to │
│ "open". │
│ │
├────────────────────────────────────────────────────────────────────────────────────────────╯
06:47:43 Gateway failed to start: gateway already running (pid 11623); lock timeout after 5000ms
If the gateway is supervised, stop it with: openclaw gateway stop
06:47:43 Port 18789 is already in use.
06:47:43 - pid 11623 hanz: openclaw-gateway (127.0.0.1:18789)
06:47:43 - Gateway already running locally. Stop it (openclaw gateway stop) or use a different port.
06:47:43 Gateway service appears enabled. Stop it first.
06:47:43 Tip: openclaw gateway stop
06:47:43 Or: systemctl --user stop openclaw-gateway.service
hanz@hanz:~$

Super – das sagt uns jetzt ganz klar, was los ist:

• Dein Gateway läuft bereits lokal auf 127.0.0.1:18789 (pid 11623).
• Darum schlägt openclaw gateway run fehl (Port belegt).
• Dein Problem ist jetzt nur noch Auth: openclaw tui will sich verbinden, aber findet kein Token/Passwort.

Option 1 (am simpelsten für “nur lokal per TUI”): Auth auf loopback deaktivieren

Wenn du wirklich nur lokal auf dem Host arbeitest:

openclaw config set gateway.bind "loopback"
openclaw config set gateway.auth.mode "none"
openclaw gateway restart
openclaw tui

Dann sollte openclaw tui ohne Token/Passwort connecten.

Option 2: Auth anlassen (Token/Passwort verwenden)

Dann musst du TUI den Token geben:

• entweder Env:

export OPENCLAW_GATEWAY_TOKEN="DEIN_TOKEN"   # nicht posten
openclaw tui

• oder direkt:

openclaw tui --token "DEIN_TOKEN"

(Wenn du --url ... benutzt, musst du --token/--password immer im selben Command mitgeben.)

Wenn du den Gateway wirklich “nur manuell” laufen lassen willst

Erst den supervised Gateway stoppen:

openclaw gateway stop

Dann manuell starten:

openclaw gateway run

…und in einem zweiten Terminal openclaw tui.

Wenn du kurz sagst: willst du Auth komplett aus (Option 1) oder Token behalten (Option 2)? (Option 1 ist für reines localhost am entspanntesten.)

es klappt nicht was ist die hardrest version

Wenn du “hard reset” meinst im Sinn von: egal was in deiner aktuellen ~/.openclaw kaputt ist – ich will jetzt wieder ein funktionierendes Setup, dann gibt’s zwei sinnvolle Stufen:

Hard reset (SAFE) = frisches Dev-Profil (berührt dein aktuelles Setup nicht)

Das ist die beste “rescue” Variante, weil sie separaten State nutzt (~/.openclaw-dev) und einen anderen Port (typisch 19001). Damit umgehst du alle kaputten Token/remote-Settings.

Terminal 1:

TOKEN="$(python3 -c 'import secrets; print(secrets.token_hex(32))')"
openclaw gateway run --dev --reset --auth token --token "$TOKEN"

Terminal 2:

openclaw tui --url ws://127.0.0.1:19001 --token "$TOKEN"

(Wichtig: Token nicht posten.)

Wenn das klappt, wissen wir: OpenClaw selbst läuft, und dein Problem ist nur dein “main” Profil/Service/Config.

Hard reset (REAL) = dein “main” Profil zurücksetzen (macht Dinge kaputt / löscht History)

Nur wenn du das wirklich willst:

1. Gateway-Service stoppen:

openclaw gateway stop

2. ~/.openclaw weg-sichern (damit du zurück kannst):

mv ~/.openclaw ~/.openclaw.bak

3. Neu einrichten (Wizard schreibt dir saubere Config + Token):

openclaw onboard --install-daemon

Welche “hard reset” meinst du: SAFE dev-profil rescue oder REAL alles neu?
Wenn du nur “ich will TUI lokal ohne Token-Gefummel”, ist die SAFE-Variante perfekt zum Verifizieren.

},
"gateway": {
"port": 18789,
"mode": "local",
"bind": "loopback",
"controlUi": {
"allowedOrigins": [
"https://localhost:18789",
"https://127.0.0.1:18789",
"https://192.168.178.88:18789"
]
},
"auth": {
"mode": "token",
"token": "123456..."
},
"tailscale": {
"mode": "off",
"resetOnExit": true
},
"tls": {
"enabled": true
},
"nodes": {
"denyCommands": [
"camera.snap",
"camera.clip",
"screen.record",
"contacts.add",
"calendar.add",
"reminders.add",
"sms.send"
]
}

Aus dem Config-Snippet sieht man: du hast lokal/loopback + TLS + token-auth konfiguriert:

• gateway.mode: "local"
• bind: "loopback"
• auth.mode: "token"
• tls.enabled: true

Und trotzdem sagt openclaw tui: “Missing gateway auth credentials” → das passiert praktisch nur, wenn der TUI-Prozess den Token nicht “sieht” (anderer Config-Pfad/Profile, oder du nutzt --url ohne --token, oder Token kommt via ${ENV} und ENV ist leer).

Hard-reset (deterministisch) für “nur lokal, TUI soll einfach verbinden”

Das ist die “ich will jetzt Ruhe”-Version: Auth aus + remote config weg (nur sicher weil loopback).

1. Sicherstellen, dass du wirklich die richtige Config erwischst:

openclaw config file

2. Hard reset auf lokal-only ohne Token:

openclaw config set gateway.mode "local"
openclaw config unset gateway.remote
openclaw config set gateway.bind "loopback"
openclaw config set gateway.auth.mode "none"
openclaw gateway restart
openclaw tui

Damit sollte openclaw tui NICHT mehr nach OPENCLAW_GATEWAY_TOKEN fragen.

Wenn du zusätzlich “alles einfach” willst: TLS raus (optional)

TLS (wss/https) macht lokal oft nur Stress. Wenn du es nicht brauchst: