diff --git a/servers/de1.md b/servers/de1.md
index f718cb3..b445e82 100644
--- a/servers/de1.md
+++ b/servers/de1.md
@@ -39,7 +39,7 @@
 | *(2× openclaw-cli-run)* | 702cf30808fc | временные cli-run, **unhealthy** | — | — |
 
 ## Не в Docker (на хосте)
-- **nginx** — `:80` и `:443` (на 213.136.74.247), плюс `127.0.0.1:4443` (FakeTLS-бэкенд маски telemt). Проксирует gitea и vhosts. Важно: nginx.conf должен include sites-enabled (иначе 443 не слушается).
+- **nginx 1.24.0** — vhosts (см. секцию ниже). Слушает `:80` и `213.136.74.247:443`, плюс `127.0.0.1:4443`.
 - **OpenVPN** — `1194/udp`, подсеть `10.8.0.0/24`.
 - **squid** — слушает `3128`, но по README считается нерабочим (упал 2026-02-09), не используется.
 - **systemd-resolved** — `53`.
@@ -47,6 +47,22 @@
 
 ---
 
+## nginx (vhosts)
+nginx 1.24.0 на хосте. `nginx.conf` подключает `conf.d/*.conf` + `sites-enabled/*`.
+Vhost'ы в `sites-available/`, симлинки в `sites-enabled/`. TLS везде Let's Encrypt (certbot, автопродление через cron).
+
+| Домен | :443 → backend | :80 | Назначение |
+|---|---|---|---|
+| **git.ruzzy.dev** | proxy `127.0.0.1:3000` | 301→https | веб gitea |
+| **stat.ruzzy.dev** | proxy `127.0.0.1:3001` | 404 | статистика (WS-проксирование, апстрим :3001) |
+| **work.ruzzy.dev** | статика `/var/www/work.ruzzy.dev` | 404 | файлы: `/d/` форс-скачивание, `/v/` стриминг с byte-range |
+| **www.ruzzy.dev** | **`127.0.0.1:4443` ssl** → статика `/var/www/www.ruzzy.dev` | ACME + 301→https | **FakeTLS-маска для telemt** (MTProxy форвардит сюда) |
+| adv.ruzzy.dev | — | — | включён, но файл пустой (no-op) |
+
+- `conf.d/default.conf` — дефолтный `localhost:80` (заглушка nginx).
+- `sites-available/default` (213.136.74.247:80 default_server, root `/var/www/html`) — **не включён** (нет симлинка).
+- Бэкапы конфига: `nginx.conf.bak`, `nginx.conf.bak.20260613`.
+
 ## VPN-топология (AmneziaWG)
 - Контейнер `amnezia-awg`, iface `amn0` = 172.29.172.1/24, порт 36360/udp.
 - Туннель: **de1 = 10.8.1.0**; RU-сервер подключается как **10.8.1.4/32**.