Você pode continuar nesse caminho, mas vou sugerir um passo atrás e tentar uma abordagem bem diferente.
Você tem vários servidores. Você quer que eles sejam capazes de falar uns com os outros, mas você quer ter certeza de que essas conexões são seguras, e (eu acho) também bloquear conexões externas para todos os servidores que não sejam um host bastião ou dois. Em vez de operar todos esses servidores em uma rede pública e conectá-los a uma VPN, acho que seria muito melhor utilizar uma rede privada. Em particular, eu recomendaria mudar para a Amazon VPC .
Você pode criar um VPC e colocar todos os seus servidores nele. As conexões de servidor para servidor passam pela rede local e usam um grupo de segurança para abrir um buraco para as portas 80 e 443 para seu balanceador de carga. Para seu próprio acesso, você pode configurar um túnel em sua rede local ou executar um servidor VPN ao qual você se conecta. E sim, eu recomendo que isso seja em seu próprio servidor - com servidores virtualizados, não há realmente nenhuma razão para combinar várias coisas em uma máquina, e isso ajuda a reduzir o número de coisas que você tem que pensar em cada uma, de um perspectiva de segurança e dependência.
Esta será uma configuração muito mais limpa, com melhor desempenho e com melhor suporte do que a que você está criando agora.