He estado mirando Network Manager y ahora mirando StrongSwan. Aunque StrongSwan parece admitir desafío-respuesta, parece que solo lo hace en el lado del servidor.
Mientras que vpnc/NetworkManager no lo admite en absoluto:
https://bugzilla.gnome.org/show_bug.cgi?id=751842
Hasta ahora mis opciones parecen ser:
- olvídalo y utiliza certificados del lado del cliente, administrándolos manualmente
- comprar un concentrador VPN Cisco o Juniper, aunque ya estemos usando un Palo Alto
¿Seguramente hay otra opción?
Al buscar en strongswan y desafío-respuesta, las únicas opciones parecen ser del lado del servidor. Pero no hay clientes de desafío-respuesta 2FA.