Pour se connecter à un serveur distant, au travers d'un bastion et ce, juste avec une clé, il faut configurer le fichier ~/.ssh/config avec le contenu suivant :

Host bastion
  Hostname bastion.domain.tld
  IdentityFile ~/.ssh/id_rsa
  User root
Host SERVER
  Hostname server.domain.tld
  User root
  IdentityFile ~/.ssh/id_rsa

Dans le bastion et dans le server, la clé publique id_rsa.pub doit être autorisée dans ~/.ssh/authorized_keys[/config]. La clé privée [fichier]~/.ssh/id_rsa reste stockée uniquement dans la machine cliente, et n'apparaît pas dans le bastion.

Une fois fait, la connexion doit être lancée avec : ssh -J bastion SERVER