Astaro behind fully managed MPLS VPN?

FWIW, where I work, they are closing some sales offices and giving salespeople laptops with aircards (cellular/evdo 'modems') in them. The aircards will be locked into an MPLS into our main office, and will only get on the internet through the main office.
This is being done instead of remote-access VPN clients as our VPN infrastructure doesn't support dual-factor authentication, which seems to be a PCI requirement.

Barry

In a sense, it seems to me that the Astaro L2TP over IPSec VPN meets the requirement of two factor authentication.  To access the Astaro VPN, a road warrior must possess the pre-shared key or a certificate AND must know a valid username/password combination.

Cheers - Bob

We're using a Cisco 3030 for most of our client VPNs, but our PCI consultant (Ambiron/Trustwave) says that the shared key doesn't count as part of a 2-factor system.

They said client certificates would be OK, IF they're unique for each client, but apparently there's no practical way for us to manage them with the Cisco and AD infrstructure, so we're looking at RSA keys for VPN users, and MPLS for salesreps.

I'm not deeply involved, so I'm not sure if the network manager's plan is best, but I did recommend client certificates a few times, but they say there's no way to automate that process for our hundreds of salesreps.

Barry

I think the Astaro User Portal would allow that easily.  I think you also could enforce changing certificates by deleting the users autocreated by Active Directory authentication and causing the creation of new 509 certificates - but I'd like an Astaro guru to confirm that for me.

Cheers - Bob

Update: our MPLS VPN is being installed this week. For whatever reason, all of the engineers I've spoken with from the MPLS VPN vendor were not as knowledgeable as the engineer I spoke with today, from the same vendor. I explained to him that I understand these Cisco routers are very flexible, and there are a million ways to accomplish the same MPLS VPN end result. I also told him how I needed our Astaro firewalls to remain intact, as we've become accustomed to how well they work. We came up with a plan that we're going to implement next week.

We have a hub and 9 spoke network. Each Cisco router at the spokes has a public port and a private port. The public port on the Cisco goes into the External Interface on the Astaro. The Internal Interface on the Astaro will feed our network switch. From the network switch, we will plug back into the private port on the Cisco. So, in this example, since I'm using the 2nd spoke on our 9 spoke hub, Astaro will have the IP 192.168.2.1. The Cisco will be 192.168.2.254. I will have to create a static route on the Astaro 192.168.0.0 /16 which forwards to 192.168.2.254. So, this way, the internal 192.168.0.0 /16 traffic will go through the Cisco and thus use the MPLS VPN. 

I hope this works - I'll be testing it very soon. It looks good theoretically. I will update this thread in the hopes that it will help someone else. 

Any comments are welcome. Thanks for everyone's earlier feedback.