Dolli

An der Fritzbox muss ein DNAT (Port-Forwarding) eingerichtet werden, damit Anfragen aus WAN zu dem Mango Gerät durchgelassen werden. Neben  dem DNAT muss natürlich eine Firewall-Regel existieren, dass VPN Anfragen (extern/WAN) überhaupt in das LAN dürfen. Ich glaube, das macht eine Fritxbox alleine, sobald man ein Portforwarding aufbaut.
Die einzutragene IP, zu der Weitergeleitet werden soll, ist die IP des Mango Gerätes.
Das setzt erstmal voraus, das Mango Gerät ist der VPN-Host/Server.

Äh, so funktioniert eine Portweiterleitung aber nicht...
Eine Portweiterleitung muss auf dem Gerät eingerichtet werden, welches die Verbindung von extern annimmt, in diesem Fall also auf der Fritzbox. Dort stellst Du ein, dass der TCP-Port 502 auf die IP-Adresse des Mango weitergeleitet wird.

In dieser Portweiterleitung muss als "interne IP" die IP-Adresse des Mango-Routers stehen. Die 192.168.178.1 wird höchstwahrscheinlich die interne IP-Adresse der Fritzbox sein, was standardmäßig der Fall ist. Ich wundere mich etwas, dass die Fritzbox so eine Einrichtung überhaupt zulässt, weil das im Prinzip eine Portweiterleitung auf sie selbst ist, was ziemlicher Unsinn wäre.
Switches haben mit Portweiterleitungen nichts zu tun, egal wie viele Switches zwischen der Fritzbox und dem Portweiterleitungsziel existieren, die sind für TCP und UDP transparent.

Wundert mich ebenfalls, normalerweise ist die FritzBox da ziemlich Strikt und erlaubt das gar nicht, wieso sollte sie so einen Unsinn zulassen, diese Konfiguration ergibt gar keinen Sinn.
Wenn ich mir das dritte Bild ansehe, scheint es auch nicht zu funktionieren, weil Traffic kann nicht nur Outbund (ausgehend) sein, 1.34 MB gehen raus, 0 Bytes kommen rein, da stimmt was nicht. Es kommt immer etwas rein und seinen es nur die TCP SYN/ACK Pakete.