1. Настройте роутер, чтобы выпускал только прокси-сервер
2. Настройте прокси-сервер, чтобы запрашивал авторизацию пользователя, лучше всего по Kerberos
2.а. Домен у вас есть - настройте в нем группы, кому можно ходить в интернет
3. Настройте правила на прокси-сервере, чтобы он разрешал исходящий трафик только пользователям из конкретных групп.
И потом это поддерживайте в актуальном состоянии. Ну и не забывайте о вариантах вроде USB-WIFI плюс смарт с раздачей интернета.
