Produto
SIM com IP fixo público: acesso remoto seguro a routers, câmaras e PLCs
IP público dedicado por SIM, com port forwarding gerido e allowlist por origem. Aceda ao router, à câmara IP, ao PLC ou à gateway Linux a partir da sua plataforma — sem VPN do lado do dispositivo, sem CGNAT, sem ter de abrir a firewall do cliente final. Regras configuráveis por API REST e registo de auditoria de acessos.
Key features
IP público dedicado por SIM
Um IPv4 público atribuído de forma permanente ao seu SIM. Não muda entre sessões nem quando o dispositivo se religa a outro operador.
Port forwarding gerido
Defina que portos do dispositivo expõe, com que portos externos, e a partir de que IPs de origem podem ligar-se.
Allowlist por origem
Apenas os IPs que declarar podem ligar-se. O resto é descartado sem notificação, sem possibilidade de scan.
API REST para automação
Crie, modifique e elimine regras a partir da sua própria plataforma. Ideal para multi-tenant ou implementação massiva.
Registo de auditoria de acessos
Cada tentativa de ligação fica registada: timestamp, IP de origem, porto, resultado (permitido ou bloqueado).
Compatível com qualquer router industrial
Não requer cliente VPN nem configuração especial no dispositivo. Funciona com Teltonika, Robustel, MikroTik, Cradlepoint e a maioria dos modelos comerciais.
Technical specifications
Use cases
- Acesso remoto a routers industriais (Teltonika, Robustel, MikroTik, Cradlepoint)
- Gestão remota de câmaras IP e NVR (Hikvision, Dahua, Axis)
- Leitura Modbus TCP de PLCs em centrais fotovoltaicas
- Manutenção SSH de gateways Linux (Raspberry Pi, IOT2050)
- Monitorização SNMP de equipamentos de rede distribuídos
- Backup de WAN com acesso remoto ao router de redundância
- Integração SCADA com OPC UA sobre IP público
- Gestão multi-tenant: cada cliente tem o seu SIM, o seu IP, as suas regras
Modelo de routing
IP público direto vs. IP público encaminhado vs. IP privado por VPN
Nem todos os SIMs com "IP fixo" resolvem o mesmo problema. Esta é a diferença técnica:
| Feature | IP pública directa | IP pública enrutada | IP privada vía VPN |
|---|---|---|---|
| Cómo funciona | La SIM recibe una IP pública routable directamente. Cualquiera con la IP puede llegar al dispositivo si éste expone puertos. | La SIM tiene IP privada en la red del operador. Una pasarela monitorizada hace port forwarding desde una IP pública dedicada hacia el dispositivo, con allowlist de IP origen. | La SIM tiene IP privada en una APN privada. El dispositivo establece (o recibe) una conexión VPN — IPsec, WireGuard u OpenVPN — hacia tu infraestructura. |
| ¿Quién accede al dispositivo? | Cualquiera que conozca la IP. Defensa: firewall en el dispositivo. | Sólo IPs incluidas en la allowlist de la pasarela. | Sólo equipos dentro de la VPN. |
| Latencia añadida | Ninguna (acceso directo). | Mínima (un salto adicional por la pasarela, normalmente <5 ms en territorio europeo). | Variable (5-30 ms según ubicación del concentrador VPN y solapamiento con la ruta del operador). |
| Configuración del dispositivo | El módem expone los puertos. APN específica de IP fija. | El módem no necesita configuración especial — se beneficia automáticamente del port forwarding de la pasarela. | El módem o un gateway aguas arriba debe correr cliente VPN. Más mantenimiento, más superficie de bug. |
| Auditabilidad de accesos | Solo lo que registre el firewall del dispositivo (a menudo nada). | Audit log centralizado en la pasarela: quién accedió, cuándo, a qué puerto. | Logs en el concentrador VPN; depende de la implementación. |
| Caso de uso típico | Equipos en redes hostiles donde no quieres tránsito intermedio (raro fuera de defensa/finanzas). | Acceso remoto a router industrial, cámara IP, PLC, NVR, gateway Linux, switch gestionado. | Cuando ya existe una VPN corporativa y el dispositivo debe formar parte de la red interna. |
| Riesgo si está mal configurado | Alto — toda Internet puede escanear el dispositivo. | Bajo — la allowlist es la barrera; si está bien configurada, sólo tus IPs llegan. | Bajo en la red, pero alto si la VPN se compromete (acceso a toda la red interna). |
| Disponibilidad en iot.cards | Sí (SIM IP pública directa). | Sí (SIM con IP pública enrutada — recomendada para la mayoría de casos). | Sí (a través de APN privada — ver /productos/apn-privado). |
Casos de uso por protocolo
O IP público encaminhado é transparente para o protocolo do dispositivo. Exemplos por uso real:
| Protocol | Typical devices |
|---|---|
| HTTP / HTTPS (portos 80, 443) | Interface web de routers Teltonika RUTX/RUT, MikroTik (Webfig), Cradlepoint, Robustel; painéis de câmaras IP. |
| RTSP (porto 554) e ONVIF | Câmaras IP Hikvision, Dahua, Axis. Acesso remoto a streams a partir de plataforma de videovigilância. |
| Modbus TCP (porto 502) | PLCs Siemens S7, Schneider M340, Allen-Bradley Micro800. Leitura de variáveis industriais remotas. |
| SSH (porto 22) | Gateways Linux (Raspberry Pi, IOT2050, BeagleBone), routers MikroTik via CLI. |
| SNMP (porto 161) | Switches e routers geridos, monitorização via Zabbix/PRTG/LibreNMS. |
| OPC UA (porto 4840) | Sistemas SCADA, integração com plataformas industriais modernas. |
Modelo de segurança
A gateway monitorizada da iot.cards aplica uma allowlist por SIM ou por grupo de SIMs. Apenas os IPs públicos ou intervalos CIDR que declarar podem iniciar ligações para o dispositivo. Toda tentativa de acesso fica registada.
- •Allowlist por IP de origem, configurável por SIM ou por grupo.
- •Regras ao nível do porto: pode permitir HTTP mas não SSH, por exemplo.
- •Registo de auditoria persistente: timestamp, IP de origem, porto de destino, resultado (permitido / bloqueado).
- •Rotação de IPs sem trocar o SIM se um IP público for comprometido.
API REST: faça a gestão de regras dinamicamente
Todas as regras de port forwarding e allowlist são geríveis via API REST. Útil quando regista um novo dispositivo a partir da sua própria plataforma, ou quando um técnico de campo precisa de acesso temporário a partir de um IP novo.
Exemplo: abrir HTTPS ao dispositivo a partir de dois intervalos CIDR
POST /api/v1/sim/{iccid}/port-forwarding
{
"external_port": 8443,
"internal_port": 443,
"protocol": "tcp",
"allowlist": ["203.0.113.10/32", "198.51.100.0/24"]
}Ready to get started?
Start with a test kit, or tell us about your project.