Não é necessário um servidor VPN no Relay Raspi. Conecte-se do cliente Raspi com serviços ao Fritzbox via VPN. Adicione roteamento no Relay Raspi atrás do Fritzbox ao Raspi com Services, que agora tem um IP Local na rede Fritzbox.
iptables -t nat -A PREROUTING -p tcp --match multiport --dports 22,80,443,3389 -j DNAT --to-destination <IP_RASPI_SERVICES_IN_FRITZBOX_LAN>:22,80,443,3389
iptables -t nat -A POSTROUTING -p tcp -d <IP_RASPI_SERVICES_IN_FRITZBOX_LAN> --match multiport --dports 22,80,443,3389 -j SNAT --to-source <IP_RELAY>
É isso. Não há necessidade de servidor VPN ou Nxx Proxing.