Если прикручиваешь к OpenVPN какую-нибудь дополнительную аутентификацию типа OTP (one time password) или AD / LDAP, то она будет вызываться каждый раз в процессе rekey. По умолчанию это то ли полчаса, то ли час, навскидку не вспомню. Понятно, что нормальный человек так работать не сможет. Если за пять минут до конца часа не ввести заново OTP или пароль от учётной записи, тебя просто вышибает из сессии. Это западло.
С одной стороны, проблема решается либо отключением rekey, либо выставлением какого-нибудь конского интервала а-ля "восемь часов". Можно конечно, но некрасиво.
У меня закралось подозрение, что народ-то как-то решает этот вопрос "по уму" (наверное). Чтобы и rekey не отключать / задирать, и в момент установления соединения однократно второй фактор запрашивать. Но как?
Update. Похоже, сам спросил, сам ответил. В платной версии (которая Access Server) как раз для этого предусмотрены session tokens. В халявной версии их, понятно, нет. Интересно, насколько сложно / не сложно прикрутить какие-нибудь костыли к community-версии, реализующие такой же функционал.
Update2. В Community-версии есть директивы "auth-gen-token" и "auth-token". Похоже, это как раз оно. Надо будет поковыряться.