Túnel SSH por meio do Bastion Host

Estou tendo problemas ao estabelecer um túnel ssh por meio de um host bastião.

Depois de examinar várias questões de SE que potencialmente resolvem o problema, nada resolveu.

Meu arquivo de configuração ssh (local)

Host www
    HostName ***
    IdentityFile ~/.ssh/key.pem
    ProxyCommand ssh root@bastion -W %h:%p

Host bastion
    HostName ***
    IdentityFile ~/.ssh/key.pem
    StrictHostKeyChecking      no
    ProxyCommand               none
    ForwardAgent               yes

Adicionei as opções de configuração necessárias no servidor bastion (/etc/ssh/sshd_config):

PermitTunnel yes
AllowTCPForwarding yes
PermitOpen any
TCPKeepAlive yes

Mas recebo o seguinte erro:

OpenSSH_7.2p2 Ubuntu-4ubuntu2.4, OpenSSL 1.0.2g  1 Mar 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: /etc/ssh/ssh_config line 59: Applying options for www
debug1: Executing proxy command: exec ssh root@bastion -W ****:22
debug1: permanently_set_uid: 0/0
debug1: permanently_drop_suid: 0
debug1: key_load_public: No such file or directory
debug1: identity file ~/.ssh/key.pem type -1
debug1: key_load_public: No such file or directory
debug1: identity file ~/.ssh/key.pem-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.4
channel 0: open failed: administratively prohibited: open failed
stdio forwarding failed
ssh_exchange_identification: Connection closed by remote host

Há uma ressalva com esta configuração: o host de destino (www) está em um AWS VPC e só pode ser endereçado a partir do bastião. Minha suposição é que isso não deveria ser um problema, já que o roteamento é feito a partir do bastião, mas esse é meu último pensamento como sendo o problema neste cenário.