Hi @JensHaller ,

also ich habe eine Fritz.Box hinter dem SP-H und da IPSec VPN am laufen.  Was wichtig ist:

1.  DynDNS sollte im SP-H eingerichtet sein.  (Funktioniert ab V2 mit den voreingestellten, ab V3.5 17 auch mit dem custom DynDNS - ohne das die CPU auf100% geht)
2.  Portweiterleitung sollte für  OpenVPN eingerichtet sein.
3.  Der Raspi sollte dann keine LTE -Ausnahmen, zumindest für  den OpenVPN-Teil haben.  ...da sonst die Pakete über die PublicIP vom DSL-Teil zurück geschickt werden. ...damit kommen die Client's nicht klar. ..da sie die Pakete ja an die PublicIP des Tunnels geschickt haben.
4. Probleme kann es noch mit dem MTU-Size geben.  Hier solltest Du sicher gehen,  das die Pakete nicht großer als 1384 werden,  damit sie sowohl über DSL, als auch LTE zugestellt werden können.   ... wenn das  dont' fragment-Bit gesetzt ist, werde die Pakete eventuell gedroppt, wenn der Tunnel über DSL aufgebaut wurde und da die max. MTU-Size 1440 sein kann

Grüße

danXde