Panadería — Cámara de fermentación por VPN

Caso de uso completo para una panadería artesanal que quiere monitorear su cámara de fermentación (temperatura 24–30°C, humedad 70–85%) y recibir alertas por WhatsApp cuando algo se sale de rango. El cliente no sabe qué marca es el PLC, no tiene router empresarial, y arranca de cero.

Escenario

Panadería El Sol. Una cámara de fermentación con PLC industrial en el gabinete eléctrico. No hay manual, no hay técnico interno de automatización. La panadería ya perdió una tanda de masa madre (~300 USD en producto) porque nadie notó que la cámara bajó a 18°C por 3 horas durante la noche.

Meta: alerta por WhatsApp en menos de 5 minutos cuando la temperatura sale de rango.

Decisión de arquitectura: VPN + cloud_direct en vez de edge gateway, porque el dueño ya piensa agregar el horno rotativo y las amasadoras el próximo trimestre — la VPN escala mejor para múltiples equipos en la misma planta.

¿Para qué sirve este caso?

Te sirve si estás:

• Conectando tu primer equipo industrial a un sistema de monitoreo.
• Sin acceso al manual del PLC (instalación antigua, fabricante desaparecido, manual perdido).
• Con router de ISP doméstico y sin VPN corporativa ni infra de IT dedicada.
• Planeando agregar más máquinas a la misma planta.

¿Cómo funciona?

El flujo end-to-end es:

Cámara fermentación (PLC 192.168.1.50)
        │ Modbus TCP :502
        ▼
Router Mikrotik hAP ac3 (LAN de la panadería)
        │ WireGuard UDP 51820 saliente
        ▼
Concentrador Rela AI (europe-west1)
        │ Direct VPC Egress
        ▼
Worker Cloud Run
        │ poll cada 5s
        ▼
Pipeline: normalización → reglas → notificación
        │ WhatsApp con Evolution API
        ▼
Celular del dueño de la panadería

Beneficios

Paso a paso

Paso 0 — Identificar el PLC (30 min)

Apagá la cámara. Abrí el gabinete eléctrico. Buscá un cubo rectangular negro/gris en riel DIN con etiqueta. Los 4 sospechosos comunes en panadería:

Foto con el celular de la etiqueta completa (modelo + serie).

Si no podés o no querés abrir el gabinete:

• Buscá el modelo de tu cámara (ej. "MIWE GVA 8") en Google. La ficha técnica suele mencionar el PLC.
• Llamá al técnico que la vendió/instaló.

Paso 1 — Confirmar Modbus TCP (15 min)

Googleá <marca> <modelo> Modbus TCP. Lo que vas a encontrar:

• 99% de los PLC post-2015 con puerto Ethernet: Modbus TCP de fábrica. Listo.
• PLCs con solo serial RS-485 (bornera A/B/GND): necesitás un adaptador Moxa MGate MB3170 (~$200 USD).
• Siemens LOGO! versiones anteriores a 8.3: no tiene Modbus TCP nativo, ver si soporta upgrade o considera reemplazo.

Paso 2 — Conectar el PLC a la red (1 hora + cableado)

Si el PLC no está ya conectado a la red:

1. Tendido de cable Ethernet (Cat5e o Cat6) desde el router ISP de la panadería hasta el gabinete eléctrico. Máximo 80m.
2. Conectar el cable al puerto Ethernet del PLC.
3. Asignar IP estática (NO DHCP) al PLC — típicamente con el software del fabricante o la pantalla HMI:
   • IP: 192.168.1.50
   • Máscara: 255.255.255.0
   • Gateway: IP del router ISP

Si no manejaste PLCs antes, este paso lo hace el técnico del fabricante en 15 minutos.

Paso 3 — Comprar el router VPN

Mikrotik hAP ac3 (~$80 USD). Soporta WireGuard nativo, cabe en la palma, consume 5W.

Alternativas aceptables: cualquier Mikrotik con RouterOS 7+, pfSense, OPNsense, Ubiquiti EdgeRouter. Lo que no sirve: routers ISP comunes (TP-Link / Mercusys / cable-módem), no soportan WireGuard.

Paso 4 — Instalar el Mikrotik en paralelo al router ISP

El más simple de los layouts:

[Módem/Router ISP] ─── [Switch/cableado de la panadería] ─── [Mikrotik hAP ac3]
                                    │                              │
                                    ▼                              ▼
                            [Equipos oficinas]              [PLC de la cámara]

El Mikrotik comparte la misma red pero es quien termina el túnel. Su única tarea es: recibir paquetes de la VPN y forwardearlos al PLC.

Paso 5 — Crear la cuenta + peer VPN en Rela AI

1. Signup en rela-ai.io.
2. Dashboard → Configuración → Conectividad VPN → Crear túnel.
3. Nombre: Panadería El Sol - Sede Central. Guardar.
4. El sistema te muestra:
   • Subnet asignada: 10.200.7.0/24 (tu número será distinto).
   • Widget "Esperando primer handshake…".
   • Selector de equipo con 7 opciones.

Paso 6 — Descargar config para Mikrotik

En el selector de equipo elegí Mikrotik RouterOS. Clic Descargar configuración. Bajás rela-vpn-mikrotik.rsc.

Paso 7 — Pegar la config en el Mikrotik

Entrás al Mikrotik por web (http://192.168.88.1) → New Terminal → pegás TODO el contenido del .rsc con Ctrl+V.

Verificás que se creó la interfaz:

/interface wireguard print

Paso 8 — Agregar DNAT 1:1 (el paso crítico)

El paso que se olvida y rompe todo. Tu PLC está en 192.168.1.50 (IP interna), pero Rela AI le envía paquetes a una IP dentro de tu subnet VPN asignada, por ejemplo 10.200.7.50. El Mikrotik tiene que traducir esas IPs 1:1 al PLC real.

Razón técnica: cada sitio tiene una subnet VPN única (10.200.X.0/24). El túnel solo transporta tráfico a esa subnet. Las IPs internas como 192.168.1.50 colisionan entre clientes (todos las usan), por lo que NO pueden ir directo por el túnel — hay que mapearlas.

Regla DNAT 1:1 en tu Mikrotik (una línea por PLC):

/ip firewall nat
add chain=dstnat dst-address=10.200.7.50 dst-port=502 protocol=tcp \
    action=dst-nat to-addresses=192.168.1.50 to-ports=502

/ip firewall filter
add action=accept chain=forward in-interface=rela-vpn src-address=10.200.0.0/16

Si tenés varios PLCs (horno, amasadora…), una regla DNAT por cada uno con direcciones distintas dentro de tu subnet VPN (ej. 10.200.7.50 → cámara, 10.200.7.51 → horno).

Paso 9 — Verificar handshake

Volvé al dashboard → /settings/connectivity. En 10-30 segundos, el widget debe cambiar a Conectado con:

• Último handshake: menos de 30 segundos.
• RX y TX: valores positivos que suben.

Si sigue esperando:

• Tu firewall de ISP bloquea UDP 51820 saliente. Pedí a tu ISP abrirlo (raro, pero pasa).
• La public key se copió truncada. Re-descargá la config.

Paso 10 — Crear la fuente Modbus

Dashboard → Alarmas → Fuentes → Nueva fuente:

Importante: el host es 10.200.7.50 (la IP del paso 8 del DNAT), no 192.168.1.50. El Mikrotik se encarga de traducir la llamada al PLC real.

Agregá un registro exploratorio:

Guardar → Test connection → rtt_ms: ~120, valor alrededor de 245 si la cámara está en 24.5°C.

Paso 11 — Descubrir el register map sin manual

Si el test funciona pero no sabés qué dirección tiene qué variable, usá la técnica de escaneo a ciegas:

1. Instalá Modbus Poll (Windows, trial gratis) en una laptop dentro de la LAN.
2. Conectate al PLC: 192.168.1.50:502, slave 1.
3. Leé holding desde address 0 hasta 100 — te muestra una tabla con 100 valores.
4. En la cámara, cambiá el setpoint de temperatura de 24 a 28°C.
5. Mirá qué celda cambió (de ~240 a ~280). Ese es tu registro de temperatura.
6. Repetí para humedad: cambiá el setpoint de humedad y buscá qué celda se movió.

Anotá en una libreta:

• holding[0] → temperatura × 10 (uint16)
• holding[1] → humedad × 10 (uint16)
• holding[2] → setpoint temperatura
• coil[0] → motor del ventilador (bool)

Paso 12 — Crear agente y regla de alarma

Dashboard → Agentes → Nuevo:

• Nombre: Agente Cámara Fermentación.
• Asignar fuente: Cámara fermentación.

Reglas → Nueva:

Paso 13 — Validar end-to-end

1. Abrí la puerta de la cámara y dejala abierta 10 minutos.
2. A los 5 minutos, el celular vibra con: "Temperatura cámara fermentación: 18°C — fuera de rango inferior (22°C)".
3. Dashboard → Inbox muestra la alerta con severidad high.
4. Cerrás la puerta. En ~10 minutos vuelve al rango y la alerta se cierra automáticamente.

Si los 4 checks pasan, el sistema está operativo.

Escalar a más máquinas en la misma panadería

Un solo túnel VPN sirve para todas las máquinas de la panadería. Cuando agregues el horno rotativo:

1. Asignale IP fija (ej. 192.168.1.51) en la misma red.
2. Dashboard → Fuentes → Nueva → protocolo que hable el horno (Modbus TCP / OPC UA / S7).
3. Mismo deployment_mode=cloud_direct, host 192.168.1.51.
4. Sin tocar el Mikrotik ni la VPN.

La regla general: 1 túnel por sitio físico. La panadería tiene 1 sitio, entonces 1 túnel. Las máquinas individuales son fuentes dentro del mismo túnel.

Costos reales

ROI estimado: una sola masa madre de 300 USD rescatada por alarma temprana cubre los primeros 4 meses de suscripción. La mayoría de panaderías industriales recuperan la inversión en el primer incidente prevenido.

Limitaciones y supuestos

• No para control de ciclo: polling cada 5s no reemplaza el control PID del PLC. Rela AI monitorea, no controla.
• Requiere internet en la panadería: si la conexión se cae, no hay buffering local (para eso es el camino edge). Una caída de 30 minutos significa 30 minutos sin monitoreo.
• Un solo router VPN por sitio: si la panadería tiene un segundo local en otra ciudad, ese local necesita su propio peer VPN (plan enterprise permite hasta 5 sitios).

Próximos pasos después de este caso

Una vez que la cámara está monitoreada, lo habitual es:

1. Agregar el horno rotativo y las amasadoras bajo la misma VPN.
2. Configurar un agente diferenciado por tipo de máquina.
3. Agregar un dashboard de KPIs operacionales.
4. Configurar reportes semanales por email.
5. Si escalás a múltiples sucursales, upgrade a plan Enterprise.

Ver también: Conectividad VPN — guía técnica, Cómo testear que la VPN funciona, Conexión Modbus TCP.