En esta imagen se muestran dos métodos para acceder a una subred privada desde una estación de trabajo local.

• La estación de trabajo utiliza el host local y el puerto A para conectarse al servidor bastión mediante un gateway de enrutamiento dinámico mediante shell seguro (SSH) y una dirección IP pública. El servidor bastión se conecta a la subred privada mediante IP1 y el puerto B privados y a la VM de destino mediante IP2 y el puerto C privados.
• La estación de trabajo utiliza un túnel SSH y un reenvío del puerto para comunicarse primero con el firewall 1 de Linux que presta servicio a la subred pública de bastion y, a continuación, con el firewall 2 de Linux que presta servicio a la subred privada.