GUIs für solche Aufgaben kenne ich nicht gut genug, um eine Meinung dazu zu haben ... ich mache das immer noch "von Hand".
Die generelle Konfiguration ist schon so möglich ... es ist alles nur eine Frage des Aufwands, den man auf dem Server betreiben will (oder muß).
Wenn jedes dieser Netze (hinter den FRITZ!Boxen) mit jedem anderen kommunizieren soll, dann muß jede der beteiligten FRITZ!Boxen wissen, daß die Pakete für die "nicht-lokalen" IP-Segmente an den VPN-Server zu schicken sind (das braucht dann passende "access_list"-Einträge in der VPN-Konfiguration, die nur durch Handarbeit zu erstellen sind) und dann geht das am besten wieder mit den Mitteln der LAN2LAN-Kopplung, wo der Server halt sein eigenes "Transit-Netz" kriegt - am Ende ist das aus Sicht der FRITZ!Box dann die Konfiguration, wo Alice, Bob und Carol so miteinander verbunden sind, daß nur zwischen Alice und Bob und zwischen Bob und Carol eine Verbindung besteht, aber trotzdem Alice mit Carol (über Bob) reden kann.
Entsprechende Konfigurationen sind sowohl bei AVM in der KB (afaik) als auch hier beschrieben - aber der Weg dahin ist dann eben kein VPN für einen "Benutzer", sondern für das gesamte LAN.
Die Alternative (wenn man tatsächlich mit einem Benutzer arbeiten will - oder manchmal auch muß) bräuchte in der FRITZ!Box die passenden Routen zu den anderen LANs über die IP-Adresse, die der VPN-Server als Gateway hat, wenn die Box bei ihm angemeldet ist - das läßt sich (wieder m.W.) gar nicht mehr konfigurieren, weil im GUI nur Routen über "dev lan" eingetragen werden können. Da käme man um die Modifikation der Box also nicht herum oder man müßte alles über das VPN schicken, was hier wohl nicht der Sinn der Sache ist.
Ich würde hier erst mal klein anfangen (wie gesagt, GUIs kenne ich keine bzw. nicht so gut, daß ich da irgendetwas empfehlen würde) und eine ganz simple Verbindung von einer FRITZ!Box (die nennen wir mal Alice, Bob und Carol und den "zentralen Server" einfach Dave) zum Server für den Beginn konfigurieren (also Alice zu Dave). Das dann auf die anderen Boxen ausgeweitet (also Bob zu Dave und Carol zu Dave) und dann kann man bei Alice, Bob und Carol noch die Routen zu den anderen beiden Netzen zur Konfiguration für die Verbindung mit Dave hinzufügen (über die "access_list", das VPN im FRITZ!OS kann mit Routen in der Routing-Table nur wenig anfangen). Wenn der Server dann bereits IP-Forwarding betreibt, sollte das schon alles sein, was notwendig ist, damit die Geräte in den LANs miteinander kommunizieren können.
Wenn es nur um "passive Kommunikation" geht (also ein Gerät in einem LAN nur auf Anforderungen aus einem anderen LAN reagieren soll), kann man sich die zusätzlichen Routen in der "access_list" an dem Standort dann schenken (und damit die VPN-Verbindung wieder im GUI konfigurieren), wenn der Server in die Richtung dieser FRITZ!Box S-NAT macht und Anfragen an die Geräte dort unter seiner eigenen Adresse weiterleitet ... darauf können die Geräte dann auch wieder problemlos antworten, weil sie ja wissen (bzw. ihre FRITZ!Box weiß es), wie der Router (aka Server) für die Antwort zu erreichen ist und der ist dann wieder dafür zuständig, die Antworten an den eigentlichen Absender der Anforderung weiterzuleiten.
Alles das, was dann "road warrior" ist, wählt sich eben in das LAN des Servers ein und kriegt von dort seine IP-Adresse ... damit sind diese Geräte alle (aus Sicht jeder einzelnen FRITZ!Box) direkt im LAN des VPN-Servers versammelt. Ggf. hat das ein paar Auswirkungen auf die Funktion von AVM-Apps, weil die Geräte bei der direkten Einwahl in die FRITZ!Box eben eine IP aus deren LAN erhalten und hier aber aus einem "fremden" LAN kämen ... damit sind sie aus Sicht des FRITZ!OS wohl immer "aus dem Internet", zumindest war das bisher so. Ob das auch für die VPN-Clients mit einer IP-Adresse aus dem eigenen LAN galt, änderte sich immer mal von Version zu Version, soweit ich das verfolgt habe ... das kann aber entscheidend sein bei der Frage, ob ein Benutzer das "Zugriff aus dem Internet erlaubt" braucht oder nicht.
