Um gateway Privada Virtual é IPSec - não SSL, que é o OpenVPN usa para túneis - assim a boa notícia é que você não precisa dele, e a má notícia é que você não pode usá-lo para isso, de qualquer maneira .
Para sua configuração proposta, a rota estática (s) para a sub-rede externa (s) ir (es) nas tabelas de roteamento VPC, com o alvo configurado, especificando o ID da instância de sua máquina gateway - não seu endereço IP , como você faria em um roteador LAN Ethernet. Você não altera as tabelas de rota das outras instâncias do EC2, para uma configuração como essa.
Em seguida, você desativar o endereço IP de origem / destino verificar na instância de gateway - permite encaminhar o tráfego para outras instâncias com endereços de origem diferentes dos seus (as sub-redes privadas externas). Note que a seção de docs que eu ligadas à é realmente a secção para configurar instâncias NAT, então ignorar o restante das informações lá - mas o recurso que você precisa para desativar é a mesma para uma instância fornecendo túneis a sub-redes externo ao seu VPC.