diff --git a/projects/dttb/ai-assistant-pilot/credentials.md b/projects/dttb/ai-assistant-pilot/credentials.md
index a5130c3..f1809b4 100644
--- a/projects/dttb/ai-assistant-pilot/credentials.md
+++ b/projects/dttb/ai-assistant-pilot/credentials.md
@@ -186,5 +186,22 @@ status: active
 
 Старое (убрать при передаче): основной NPM **10.0.0.195** proxyhost **id30** omni→`10.0.0.163:20128`, cert **id115** — пока обслуживает публичный `omni.umnybot.ru`.
 
+## 🌐 Публичный доступ — VPS-шлюз через NetBird (2026-06-17, РАБОТАЕТ)
+
+**Решение:** WAN Александра **динамический** (`proto=dhcp`, аренда 24ч) → DNS на него вешать нельзя. Прямой проброс на Cudy откатан. Публичный доступ — через **статичный VPS-шлюз по NetBird** (это и была изначальная задумка: DNS почти всех `*.umnybot.ru` смотрит на VPS).
+
+**Архитектура:** `DNS → VPS 158.255.0.139 (NPM, LE-серты) → NetBird → NPM коробки (LXC101, 100.70.90.103) → внутренние бэкенды`.
+
+| Узел | Значение |
+|---|---|
+| VPS-шлюз | **`158.255.0.139`** (`vm-nano`, Ubuntu 22.04), root / `Kw_0kkksW5`, NetBird **`100.70.127.23`** |
+| NPM на VPS | jc21 в Docker (`/opt/npm`), админка `http://158.255.0.139:81` (⚠️ :81 публичен), логин **`admin@umnybot.ru` / `App5870w`** |
+| NPM коробки (LXC101) | теперь в NetBird: **`100.70.90.103`** (`alex-npm.netbird.cloud`), setup-key Benelux. VPS бьёт сюда, NPM коробки роутит внутрь (cloud→105:8082, alex→105:3001, omni→102:20128) |
+| LXC 105 «alex-apps» | filebrowser (облако, `:8082`, admin/`App5870w`) + Homepage (дашборд, `:3001`), `/data` на HDD |
+
+**Публично работает (валидные LE-серты):** `cloud.umnybot.ru` (облако), `alex.umnybot.ru` (дашборд), `omni.umnybot.ru` (OmniRoute, через 102). DDNS НЕ нужен — DNS смотрит на статичный VPS, динамика WAN неважна.
+
+**⚠️ Хвосты (решение Олега):** на VPS NPM ещё 12 устаревших хостов на мёртвые `10.0.0.x` (zima/tg/rustdesk/plex/ha/oc/qbit/term — это апки ZimaOS, которые убрали; git/pve/swarm/umnybot.ru-root — admin). Дают 502. Решить: переназначить на коробку по NetBird, удалить или оставить. И omni сейчас публичен — если должен быть internal, убрать с VPS.
+
 ## Статус (2026-05-31)
 Этап 1 почти закрыт. Тракт TG→openclaw→OmniRoute→Kiro-роутинг проверен (429 = достучались). Блокер: рабочая модель (новый Kiro троттлит → Олег подключает 2-й провайдер). Дальше: openclaw model=omniroute/* + fallback → тест «привет» в TG.