Ik weet niet of PAM een harde eis is, maar als je echte smartcards gaat gebruiken (waar keys/certificaten op kunnen) dan kan je op basis daarvan een 2fa maken. Dat is iets wat openvpn zelf kan, dus daar heb je geen PAM of authenticator voor nodig.
De gebruiker moet dan eenmalig (bij het opzetten van de vpn) een PIN geven, die wordt gedurende de tijd dat de VPN staat gecached, dus ook bij een automatische reconnect is geen interactie met de gebruiker nodig.