diff --git a/ovh-cloud/CURRENT-STATE.md b/ovh-cloud/CURRENT-STATE.md
new file mode 100644
index 0000000..09ecafc
--- /dev/null
+++ b/ovh-cloud/CURRENT-STATE.md
@@ -0,0 +1,60 @@
+# CURRENT-STATE
+
+## Estado general
+
+OVH debe considerarse la frontera pública endurecida de MESAVAULT.
+
+## Componentes documentados en OVH
+
+Contenedores activos de referencia documentados:
+
+- `mv_traefik`
+- `mv_authentik_server`
+- `mv_authentik_worker`
+- `mv_authentik_db`
+- `mv_whoami`
+- `mv_logout_page`
+- `mv_grafana_client1`
+
+Contenedor LoRaWAN documentado:
+
+- `mv_chirpstack_gateway_bridge`
+
+## Papel operativo consolidado
+
+OVH aloja:
+
+- Traefik
+- Authentik
+- logout handler
+- tenant Grafana del cliente
+- Gateway Bridge
+- routing `/control/*`
+- enlace privado por Tailscale hacia `platform-40`
+
+## Estado funcional consolidado para drenaje
+
+En el caso del drenaje quedó fijado que:
+
+- el dashboard del cliente vive en OVH
+- la UI de control se publica en `/control/`
+- Traefik usa file provider para esa subruta
+- el backend apuntado por Traefik es `http://<TS_IP_PLATFORM40>:8088`
+- el tenant del cliente documentado es `elpicon.panel.mesavault.es`
+- Grafana embebe `/control/ui` por iframe
+- Authentik aporta identidad centralizada
+
+## Decisiones técnicas relevantes
+
+- un solo host por cliente
+- `/control/` bajo el mismo tenant, no subdominio aparte
+- file provider en Traefik para enrutar `/control`
+- `forwardAuth` definido en el propio fichero dinámico
+- OVH solo enruta y autentica; no guarda datos del backend
+
+## Pendientes
+
+- versionar en Gitea el `docker-compose.yml` saneado de OVH
+- versionar el `tenant-control.yml` saneado
+- versionar el compose del tenant de El Picon
+- decidir si el nombre `mv_grafana_client1` sigue siendo el naming final o fue una fase intermedia
\ No newline at end of file