Producto

SIM con IP fija pública: acceso remoto seguro a routers, cámaras y PLCs

IP pública dedicada por SIM, con port forwarding gestionado y allowlist por origen. Accede al router, la cámara IP, el PLC o el gateway Linux desde tu plataforma — sin VPN del lado del dispositivo, sin CGNAT, sin tener que abrir el firewall del cliente final. Reglas configurables por API REST y audit log de accesos.

Características principales

IP pública dedicada por SIM

Una IPv4 pública asignada de forma permanente a tu SIM. No cambia entre sesiones ni cuando el dispositivo reengancha a otro operador.

Port forwarding gestionado

Define qué puertos del dispositivo expones, con qué puertos externos, y desde qué IPs origen pueden conectarse.

Allowlist por origen

Sólo IPs que tú declares pueden conectarse. El resto se descarta sin notificación, sin escaneo posible.

API REST para automatización

Crea, modifica y borra reglas desde tu propia plataforma. Ideal para multi-tenant o despliegue masivo.

Audit log de accesos

Cada intento de conexión queda registrado: timestamp, IP origen, puerto, resultado (permitido o bloqueado).

Compatible con cualquier router industrial

No requiere cliente VPN ni configuración especial en el dispositivo. Funciona con Teltonika, Robustel, MikroTik, Cradlepoint y la mayoría de modelos comerciales.

Especificaciones técnicas

Tipo de IPPública IPv4 dedicada (enrutada)
APNEspecífica de IP fija (configuración suministrada)
Puertos máximos por SIMSin límite operativo (recomendado <20 reglas activas)
Tipo de tráfico permitidoTCP, UDP
Audit log30 días en línea, exportable a S3 o webhook
Latencia añadida<5 ms (territorio europeo)
API RESTSí, con HMAC y idempotencia por ICCID
MTU1500 bytes

Casos de uso

  • Acceso remoto a routers industriales (Teltonika, Robustel, MikroTik, Cradlepoint)
  • Gestión remota de cámaras IP y NVR (Hikvision, Dahua, Axis)
  • Lectura Modbus TCP de PLCs en plantas fotovoltaicas
  • Mantenimiento SSH de gateways Linux (Raspberry Pi, IOT2050)
  • Monitorización SNMP de equipos de red distribuidos
  • Backup de WAN con acceso remoto al router de respaldo
  • Integración SCADA con OPC UA sobre IP pública
  • Gestión multi-tenant: cada cliente tiene su SIM, su IP, sus reglas

Modelo de routing

IP pública directa vs. IP pública enrutada vs. IP privada por VPN

No todas las SIM con "IP fija" resuelven el mismo problema. Esta es la diferencia técnica:

CaracterísticaIP pública directaIP pública enrutadaIP privada vía VPN
Cómo funcionaLa SIM recibe una IP pública routable directamente. Cualquiera con la IP puede llegar al dispositivo si éste expone puertos.La SIM tiene IP privada en la red del operador. Una pasarela monitorizada hace port forwarding desde una IP pública dedicada hacia el dispositivo, con allowlist de IP origen.La SIM tiene IP privada en una APN privada. El dispositivo establece (o recibe) una conexión VPN — IPsec, WireGuard u OpenVPN — hacia tu infraestructura.
¿Quién accede al dispositivo?Cualquiera que conozca la IP. Defensa: firewall en el dispositivo.Sólo IPs incluidas en la allowlist de la pasarela.Sólo equipos dentro de la VPN.
Latencia añadidaNinguna (acceso directo).Mínima (un salto adicional por la pasarela, normalmente <5 ms en territorio europeo).Variable (5-30 ms según ubicación del concentrador VPN y solapamiento con la ruta del operador).
Configuración del dispositivoEl módem expone los puertos. APN específica de IP fija.El módem no necesita configuración especial — se beneficia automáticamente del port forwarding de la pasarela.El módem o un gateway aguas arriba debe correr cliente VPN. Más mantenimiento, más superficie de bug.
Auditabilidad de accesosSolo lo que registre el firewall del dispositivo (a menudo nada).Audit log centralizado en la pasarela: quién accedió, cuándo, a qué puerto.Logs en el concentrador VPN; depende de la implementación.
Caso de uso típicoEquipos en redes hostiles donde no quieres tránsito intermedio (raro fuera de defensa/finanzas).Acceso remoto a router industrial, cámara IP, PLC, NVR, gateway Linux, switch gestionado.Cuando ya existe una VPN corporativa y el dispositivo debe formar parte de la red interna.
Riesgo si está mal configuradoAlto — toda Internet puede escanear el dispositivo.Bajo — la allowlist es la barrera; si está bien configurada, sólo tus IPs llegan.Bajo en la red, pero alto si la VPN se compromete (acceso a toda la red interna).
Disponibilidad en iot.cardsSí (SIM IP pública directa).Sí (SIM con IP pública enrutada — recomendada para la mayoría de casos).Sí (a través de APN privada — ver /productos/apn-privado).

Casos de uso por protocolo

La IP pública enrutada es transparente para el protocolo del dispositivo. Ejemplos por uso real:

ProtocoloDispositivos típicos
HTTP / HTTPS (puertos 80, 443)Interfaz web de routers Teltonika RUTX/RUT, MikroTik (Webfig), Cradlepoint, Robustel; paneles de cámaras IP.
RTSP (puerto 554) y ONVIFCámaras IP Hikvision, Dahua, Axis. Acceso remoto a streams desde plataforma de videovigilancia.
Modbus TCP (puerto 502)PLCs Siemens S7, Schneider M340, Allen-Bradley Micro800. Lectura de variables industriales remotas.
SSH (puerto 22)Gateways Linux (Raspberry Pi, IOT2050, BeagleBone), routers MikroTik vía CLI.
SNMP (puerto 161)Switches y routers gestionados, monitorización vía Zabbix/PRTG/LibreNMS.
OPC UA (puerto 4840)Sistemas SCADA, integración con plataformas industriales modernas.

Modelo de seguridad

La pasarela monitorizada de iot.cards aplica una allowlist por SIM o por grupo de SIMs. Sólo las IPs públicas o rangos CIDR que tú declares pueden iniciar conexiones hacia el dispositivo. Todo intento de acceso queda registrado.

  • Allowlist por IP origen, configurable por SIM o por grupo.
  • Reglas a nivel de puerto: puedes permitir HTTP pero no SSH, por ejemplo.
  • Audit log persistente: timestamp, IP origen, puerto destino, resultado (permitido / bloqueado).
  • Rotación de IPs sin cambiar la SIM si una IP pública queda comprometida.

API REST: gestiona reglas dinámicamente

Todas las reglas de port forwarding y allowlist son administrables por API REST. Útil cuando das de alta un nuevo dispositivo desde tu propia plataforma, o cuando un técnico de campo necesita acceso temporal a una IP nueva.

Ejemplo: abrir HTTPS al dispositivo desde dos rangos CIDR

POST /api/v1/sim/{iccid}/port-forwarding
{
  "external_port": 8443,
  "internal_port": 443,
  "protocol": "tcp",
  "allowlist": ["203.0.113.10/32", "198.51.100.0/24"]
}
Ver documentación de la API REST

Productos relacionados

¿Listo para empezar?

Empieza con un kit de prueba o cuéntanos tu proyecto.

Comprar kit de prueba

SIM Test Kit · 15 € · envío en 48 h

Ir a la tienda

Hablar de tu proyecto

Cotización a medida según despliegue

Cuéntanos tu proyecto

Explora también

Preguntas frecuentes

¿Qué diferencia hay entre IP pública directa e IP pública enrutada?
En la directa, la IP pública termina en el módem y el dispositivo expone puertos directamente a Internet. En la enrutada, una pasarela hace port forwarding con allowlist desde la IP pública hacia el dispositivo. La enrutada es más segura por defecto: solo las IPs origen que declares pueden conectarse, y queda audit log centralizado.
¿Puedo cambiar las reglas de port forwarding sin avisar?
Sí, vía portal o API REST. Los cambios son efectivos en segundos. Esto permite, por ejemplo, abrir SSH temporalmente para un técnico de campo desde una IP concreta y cerrarlo después automáticamente.
¿Funciona con cualquier router 4G/5G industrial?
Sí. La SIM no requiere configuración especial en el dispositivo más allá de la APN de IP fija que suministramos. Hemos validado con Teltonika RUT/RUTX, MikroTik LtAP/Chateau, Cradlepoint IBR/E300, Robustel R1511/R3000, y la mayoría de modelos comerciales.
¿Es compatible con CCTV (Hikvision, Dahua)?
Sí. La IP pública enrutada permite exponer RTSP (554), ONVIF y la web admin de NVRs y cámaras IP. Recomendamos restringir al puerto necesario y a las IPs de tu plataforma de gestión, no abrir todos los puertos.
¿Qué pasa si una IP origen autorizada cambia (por ejemplo, IP dinámica de oficina)?
Tres opciones: (a) actualizar la allowlist por API cuando cambia, (b) usar un rango CIDR amplio del proveedor de la oficina, o (c) acceder desde un bastión con IP pública estática. Para clientes con muchos accesos dinámicos suele ser más sencillo el bastión.
¿Hay coste por regla de port forwarding?
No. El precio de la SIM con IP fija enrutada incluye la pasarela y todas las reglas activas. Sólo escalamos precio si el tráfico mensual supera el plan contratado.
¿Cómo se compara con APN privada y VPN?
APN privada con VPN es la solución correcta cuando el dispositivo debe formar parte de tu red interna o cuando tienes muchas SIMs y un único punto de gestión. IP pública enrutada es la solución correcta cuando necesitas acceder a dispositivos individuales desde tu plataforma SaaS y no quieres mantener un concentrador VPN. Ver /productos/apn-privado para el caso APN privada.