Для разрешения пользователю выхода в сеть только через VPN на Windows Server 2008 R2 можно использовать функционал правил брандмауэра (Firewall) и настройки маршрутизации.

Настройка правила брандмауэра:

Создайте правило в брандмауэре, которое будет блокировать все исходящие соединения, кроме тех, которые направлены через VPN-соединение.Укажите в правиле условия, при которых сетевой трафик будет разрешен (какие порты, IP-адреса и протоколы).Настройте правило так, чтобы оно блокировало все соединения, кроме тех, которые направлены через IP-адрес VPN-сервера или через сеть VPN.

Настройка маршрутизации:

Убедитесь, что все сетевой трафик направляется через VPN-сервер.Настройте маршрут по умолчанию через VPN-сервер, чтобы весь исходящий трафик шел через него.При отключении VPN-сервера или обрыве связи, пользователь не сможет выходить в интернет.

Таким образом, с помощью правил брандмауэра и настройки маршрутизации можно обеспечить, чтобы пользователи выходили в интернет только через VPN-соединение.