Tak si odpovim sam, kdyby nekdy nekdo resil neco podobnyho. Zjistil jsem tyhle fakta:
- server ukoncuje spojeni po 10 sekundach necinnosti - to je OK
- klient je v Kerberos domene, tj. openssl s_client se automaticky pokousi navazat Kerberos autentizaci - neprisel jsem na to, jak to vypnout)
- PTR zaznam k IP adrese xxx.com neexistoval a DNS navic vracel SERVFAIL, protoze tam byla chyba v delegovani zon - to je ve spojitosti s Kerberosem problem
No a tak slo o to, ze openssl navazal tcp handshake a pak se snazil sehnat informace pro Kerberos autentizaci. To mu, kvuli opakovani dotazu po SERVFAIL, zabralo nekdy vic nez 10 sekund a server mezitim spojeni ukoncil.