Gegenfrage: Wo ist denn das Problem? Du darfst kein NAT in deiner Verbindung haben, d.h. zwischen der VPN IP deines Cherry und dem Konnektor muss eine geroutete Verbindung bestehen; alternativ würde auch eine TAP Verbindung funktionieren, sofern das Cherry die Verbindung nicht selbst aufbaut. Wichtig ist nur, dass der Konnektor die VPN IP Adresse direkt anpingen kann (respektive Vice Versa), ohne dass hier nochmal ein NAT/Masquerading (egal in welche Richtung) z.B. am VPN Endpunkt passiert. Darüber hinaus muss dem Konnektor eine Route zur VPN IP des Cherry bekannt sein.