auch dass es keine weitere Authentifizierung am Client gibt ist mir ein Dorn im Auge.
Alles wo ein Benutzer sich Authentifizieren muss, wird mit IPsec gemacht, gerade auch wegen 2 Faktor Authentifizierung.