VPNには色々な方法がありますが、クライアントソフトなしでWindows, Android, iOSから繋げられるL2TPが便利です。

環境
Windows 10 2004 (May 2020 Update)

証明書の設定

ファイル名を指定して実行にmmcと入力し「Ctrl」+「Shift」を押しながら管理者権限で実行。
「ファイル」から「スナップインの追加と削除」、「証明書」を選択して「追加」。
「コンピューターアカウント」ラジオボタンを選択して「次へ」。
「ローカルコンピューター」ラジオボタンを選択して「完了」。

左ペインの「信頼されたルート証明機関」の証明書フォルダからMicrosoft Root Authorityを「個人」の証明書フォルダにコピーする。

着信接続の作成

コントロールパネルから「ネットワーク接続」を開き、「新しい着信接続」を作成する。証明書インストールの後に行うことが重要。
接続に使うアカウントを選択し、「インターネット経由」にチェック。
IPv4のプロパティで、IPアドレスの範囲を選択する。クライアントOSではDHCPは使えない。

IPSecの設定

「セキュリティが強化されたWindowsファイアウォール」を管理者権限で開く。
「接続セキュリティの規則」を右クリックして「新しい規則」、「カスタム」。
「エンドポイント1」にサーバー機のアドレスを入れる。
「受信接続と送信接続の認証を要求する」。
「詳細設定」を選択して「カスタマイズ」。
「1番目の認証方法」枠の「追加」を選び、「事前共有キー（推奨されません）」ラジオボタンを選択し適切なキーを入力。
「プロトコルの種類」は「L2TP」。利用する予定のネットワークのプロファイルを選択。

ルーターのポートを開ける

UDP 500とUDP 4500の2つ。

トラブル

Routing and remote accessサービスが自動起動するようになり、ポート443を占有し、apacheが起動しなくなった。

Address already in use: make_sock: could not bind to address 0.0.0.0:443

とりあえず使っていないSSLを退避させるためhttpd-ahssl.confの443を4443にして解決。