Raspberry Pi 3を購入したので、
初期設定、セキュリティ設定、VPNサーバー立ち上げまでの流れを書いてみます。
基本的にWindows上で操作しますが、一部だけRaspberry Pi 3で操作します。

1)Raspbian Jessie with PIXELのダウンロード

https://www.raspberrypi.org/downloads/raspbian/

Version: April 2017
Release date: 2017-04-10
Kernel version: 4.4

これを落とした。

2)Win32 Disk Imagerのダウンロード

https://sourceforge.net/projects/win32diskimager/files/Archive/

Win32DiskImager-1.0.0-binary.zip

これを落とした。

3)SDカードへの書き込み(Transcend microSDHCカード 16GB Class10 UHS-I対応 TS16GUSDU1P)

Writeで書き込む。

a

4)USBマウスとキーボード、HDMIケーブルでモニタを取り付けた上で Raspberryの設定で以下を設定(Raspberry Pi 3で作業)

Raspberry Pi 3にSDカードを装着し、起動してから以下を設定

・ホスト名変更(任意)
・SSHの有効化
・ロケール、タイムゾーン、キーボード、無線LANを日本に設定


5)IPアドレスの固定化(Raspberry Pi 3で作業)

ターミナルを開き以下の設定に変更(xxの所は自分の環境にあわせて設定)

sudo nano /etc/dhcpcd.conf

----------------------------------------
interface eth0
static ip_address=192.168.xx.xx/24
static routers=192.168.xx.xx
static domain_name_servers=192.168.xx.xx
----------------------------------------

sudo reboot

6)Tera Termのダウンロード

https://ja.osdn.net/projects/ttssh2/

teraterm-4.95.zip

これを落とした。

7)Tera TermでSSH接続

192.168.xx.xx に接続

ユーザ名 pi
パスワード raspberry

8)NTPサーバーを設定を変更する

sudo nano /etc/ntp.conf

----------------------------------------
# pool.ntp.org maps to about 1000 low-stratum NTP servers.  Your server will
# pick a different set every time it starts up.  Please consider joining the
# pool: <http://www.pool.ntp.org/join.html>
#server 0.debian.pool.ntp.org iburst
#server 1.debian.pool.ntp.org iburst
#server 2.debian.pool.ntp.org iburst
#server 3.debian.pool.ntp.org iburst
pool ntp.nict.jp iburst
----------------------------------------

9)pi / rootのパスワードを設定

sudo passwd pi
sudo passwd root

10)Swap廃止、ramdisk構築(ramdiskは64mb)
sudo swapoff --all
sudo apt-get remove dphys-swapfile
sudo nano /etc/fstab

----------------------------------------
tmpfs    /tmp    tmpfs    defaults,size=64m,noatime,mode=1777 0 0
tmpfs    /var/tmp    tmpfs    defaults,size=64m,noatime,mode=1777 0 0
----------------------------------------

sudo reboot

11)アプリのインストール
リモートデスクトップと、ファイアウォールを入れた。

sudo apt-get update
sudo apt-get upgrade
sudo apt-get install tightvncserver
sudo apt-get install xrdp
sudo apt-get install ufw

sudo reboot

12)xrdpの初期設定


cd /etc/xrdp/
sudo wget http://w.vmeta.jp/temp/km-0411.ini
sudo ln -s km-0411.ini km-e0010411.ini
sudo ln -s km-0411.ini km-e0200411.ini
sudo ln -s km-0411.ini km-e0210411.ini
sudo service xrdp restart

13)ファイアウォールの初期設定

500と4500=vpn
22=ssh(ローカルからの接続のみ許可)
443=SoftEtherクライアント(ローカルからの接続のみ許可)
3389=リモートデスクトップ(ローカルからの接続のみ許可)
3350=リモートデスクトップ(ローカルからの接続のみ許可)

外部へは500/udp 4500udpのみ開放となる。
それ以外は全て閉じている状態になります。

公開されたポートはL2TP/IPsecで接続を許可する事になるので、
ここのセキュリティ管理(SoftEtherの初期設定、一番最後に記載)を重視しておけば
ほぼセキュリティは問題ないと考えます。

sudo ufw disable
sudo ufw default deny
sudo ufw allow 500/udp
sudo ufw allow 4500/udp
sudo ufw allow from 192.168.xx.0/24 to any port 22 proto tcp
sudo ufw allow from 192.168.xx.0/24 to any port 443 proto tcp
sudo ufw allow from 192.168.xx.0/24 to any port 3389 proto tcp
sudo ufw allow from 192.168.xx.0/24 to any port 3350 proto udp
sudo ufw enable

14)SoftEther VPN Serverのインストール

最新の製造工程版、SoftEther VPN Server (Ver 4.20, Build 9608, rtm) を入れる事にした。

su-

wget http://jp.softether-download.com/files/softether/v4.20-9608-rtm-2016.04.17-tree/Linux/SoftEther_VPN_Server/32bit_-_ARM_EABI/softether-vpnserver-v4.20-9608-rtm-2016.04.17-linux-arm_eabi-32bit.tar.gz

tar zxvf softether-vpnserver-v4.20-9608-rtm-2016.04.17-linux-arm_eabi-32bit.tar.gz

cd vpnserver
make
cd ../
mv vpnserver /usr/local/
cd /usr/local/vpnserver
sudo chmod 600 *
sudo chmod 700 vpn*
sudo nano /etc/init.d/vpnserver

----------------------------------------
#!/bin/sh
### BEGIN INIT INFO
# Provides:                 vpnserver
# Required-Start:           $local_fs $network
# Required-Stop:            $local_fs $network
# Default-Start:            2 3 4 5
# Default-Stop:             0 1 6
# Short-Description:        SoftEther VPN 4.20 RTM
# Description:              Start vpnserver daemon SoftEther VPN 4.20 Server
### END INIT INFO

DAEMON=/usr/local/vpnserver/vpnserver
LOCK=/var/lock/vpnserver

. /lib/lsb/init-functions
test -x $DAEMON || exit 0

case "$1" in
start)
sleep 3
log_daemon_msg "Starting SoftEther VPN 4.20 Server" "vpnserver"
$DAEMON start >/dev/null 2>&1
touch $LOCK
log_end_msg 0
sleep 3

# SoftEther VPNで追加した仮想tapデバイス名を調べる
tap=`/sbin/ifconfig -a| awk '$1 ~ /^tap/ {print $1}'`
/sbin/brctl addif br0 $tap
;;

stop)
log_daemon_msg "Stopping SoftEther VPN 4.20 Server" "vpnserver"
$DAEMON stop >/dev/null 2>&1
rm $LOCK
log_end_msg 0
sleep 2
;;

restart)
$DAEMON stop
sleep 2

$DAEMON start
sleep 5
# SoftEther VPNで追加した仮想tapデバイス名を調べる
tap=`/sbin/ifconfig -a| awk '$1 ~ /^tap/ {print $1}'`
/sbin/brctl addif br0 $tap
;;

status)
    if [ -e $LOCK ]
    then
        echo "vpnserver is running."
    else
        echo "vpnserver is not running."
    fi
;;
*)

echo "Usage: $0 {start|stop|restart|status}"
exit 1
esac
exit 0
----------------------------------------

sudo chmod +x /etc/init.d/vpnserver
sudo apt-get -y install chkconfig
sudo chkconfig --add vpnserver

15)SoftEtherの初期設定

以後クライアント側の設定となりWindows上で作業をするが、
画面がないと煩雑なので以下URL参照の事。(リンクは貼っていません)

http://俺の技術メモ.net/raspberry-pi2-vpnserver-part2/

ただしこのURLの一番最後にある「本番設定」「起動スクリプトを作り直す」の2つは、
仮想HUBを作っていないので、作業不要。

16)本体の設定方法

IMG_0337

こんな感じで背面の熱を放熱しやすい向きに設置すると良いかと。

vcgencmd measure_temp

このコマンドでCPU温度を見ることができる。
ラズバイ3のCPUは最大85度まで動く模様。
我が家はケース装着、自然冷却で60度~67度の間をウロウロ。

<2017/6/21追記>
ケースファンを追加した。
見た目は格好悪いですが、ケースの横に紐でくくりつけて運用中。

IMG_0342

Scythe AS-71G2 [USB変換ケーブル]
オウルテック Owltech FANGuard-M8(B)/II [ファンガード 8cm ブラック]
オウルテック Owltech SF8-S2 [ケースファン 1300RPM 80mm角 25mm厚 リブ無し]


この3点セットです。最大10dbと超静音でノイズは全くきにならず。
これを常時まわしてあげると、
48~49度で飽和し-15度位さがったので十分かと!

これで常時運用可能なVPNサーバーが構築できた。

===以上===

で、ある調で書きたかったのですが、なんか中途半端になってしまった・・・。

さて、セキュリティ対策について少し補足です。
piのユーザ名を変更する事や、
sshのポートを変更する事を推奨している例もあるのですが、
今後のメンテナンス性などを考えて、
このあたりは意図的に弄らないようにしました。

UFWで本当に最低限のポートしか空けていませんし、
原則サーバーとしての利用なので、
ラズベリーパイ側から積極的に外部アクセスもしないため、
ウイルス進入の可能性も低いと考えます。
必要があればClamAVを入れておけばより安心だとは思います。

外部公開ポートはL2TP/IPSec接続のポートのみとなりますが、
暗号化を担うIPsecプロトコルを米NSAあたりが破ったという噂はあるものの、
その他で不正事例は聞きませんので、安全性は高いと思います。
となると正攻法で正面突破しかありませんが、
そもそもIPSecをやぶる事はスパコンレベルの演算能力があり、
かつ高度な技術がないと無理でしょうから、
VPNの接続先を特定するのは難しいと思います。
よって事実上安全と言ってよいと思います。あくまで素人考えですが・・・。

そんなこんなで、今回の初期設定方法のご案内が何かの参考になれば!と思います。