Estive olhando para o Network Manager e agora para o StrongSwan. Embora o StrongSwan pareça suportar resposta a desafios, parece que isso só acontece no lado do servidor.
Considerando que vpnc/NetworkManager não oferece suporte:
https://bugzilla.gnome.org/show_bug.cgi?id=751842
Até agora minhas opções parecem ser:
- esqueça e use certificados do lado do cliente, gerenciando-os manualmente
- comprar um concentrador VPN Cisco ou Juniper, mesmo que já estejamos usando um Palo Alto
Certamente há outra opção?
Pesquisando no cisne forte e na resposta ao desafio, as únicas opções parecem ser do lado do servidor. Mas nenhum cliente 2FA de resposta a desafios.