SSH a través de la diferencia del servidor Bastion entre reiniciar sesión y proxy

No estoy muy versado en el funcionamiento interno de SSH, etc., así que tengan paciencia conmigo. Estamos utilizando un servidor Bastion a través del cual las personas necesitan SSH para hacer su trabajo. Normalmente esto sería SSH a bastión y luego SSH a algún servidor.

Mi pregunta es la siguiente: ¿Existe una diferencia real (técnica, de rendimiento y de seguridad) entre el uso de dos inicios de sesión (1 al Bastión 1 al servidor) y el uso del comando -W con ssh para proxy?

Entonces diferencia con hacer:

ssh user1@bastion
ssh user2@server 

y

ssh user1@bastion -W user2@server

(No estoy seguro si este segundo tiene la sintaxis correcta ya que no la uso, pero creo que se entiende la idea)

El inicio de sesión es primero con un determinado usuario con nombre de usuario / contraseña y el segundo al servidor con pares de claves.

En caso de "volver a iniciar sesión", el segundo cliente se está ejecutando en el host del bastión.

• O su par de claves debe estar en el bastión, o debe usar el "reenvío de agente" SSH para darle acceso restringido al par de claves.
• Cualquier reenvío de TCP ( ssh -L) debe configurarse dos veces: una vez cuando se conecta al servidor bastión, una vez cuando se conecta al servidor real.
• Además, el host del bastión puede ver técnicamente todo lo que escribe y todo lo que recibe a través de ese túnel SSH.
• Sin embargo, una ventaja es que puede usar Mosh para conectarse al host del bastión (y SSH regular a partir de ahí).

Cuando ssh -Jse usa un comando proxy, el segundo cliente se ejecuta localmente .

• Esto significa que la autenticación solo debe realizarse localmente.
• Los reenvíos TCP solo deben procesarse una vez.
• El servidor de bastión solo ve el tráfico SSH cifrado, no la entrada / salida real.
• Sin embargo, este modo agrega algo de sobrecarga adicional ya que tiene SSH en SSH; tanto en términos de tráfico de red como de uso de CPU.