AWS 网络有点不寻常，因为它不允许传递对等互连（如果 A 与 B 对等，B 与 C 对等，A 不能与 C 对话）并且不允许使用 Direct Connect 或 VPN 的帐户连接以与另一个帐户共享。随着最近引入的 Transit Gateway 和（非常强大的）资源访问管理器（允许一些帐户间资源共享），这种情况发生了变化，但默认情况下，这就是您所坚持的。

从历史上看，您可以通过使用 VPN 创建覆盖网络来解决此问题，这几乎就是您使用 OpenVPN 所做的。但是，我认为如果您从本地防火墙通过标准 AWS VPN 网关，您所展示的内容将不起作用，因为它不允许您使用不属于其自己的子网配置隧道专有网络。您最好将 OpenVPN 用于所有隧道，而不仅仅是在 A 和 B 之间。

如果您将在 A 和 B 之间使用的客户端 VPN 子网添加到站点到站点隧道上的 A 位置和 Watchguard 防火墙，则允许客户端 VPN 子网通过被包含为感兴趣的内容来遍历隧道流量，它应该可以工作，除非 AWS 有任何奇怪的限制。